本文章先来介绍了php intval简单用法,它可以把字符,数字,小数转换灰数字型数据,但在转换时会出现一些问题如小数1.1就会转换成1,下面看实例。变量转成整数类型。 语法: int intval(mixed var, int [base]); 返回值: 整数 函数种类: PHP 系统功能内容说明本函数可将变量转成整数类型。可省略的参数 base 是转换的基底,默认值为 10。转换的变量 var 可以为数组或类之外的任何类型变量。intval()使用不当的安全漏洞分析intval函数...
我们知道Web上提交数据有两种方式,一种是get、一种是post,那么很多常见的sql注射就是从get方式入手的,而且注射的语句里面一定是包含一些sql语句的,因为没有sql语句,那么如何进行,sql语句有四大句: select 、update、delete、insert那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢? 于是我们使用正则就构建如下函数:代码如下 /* 函数名称:inject_check() 函数作用:检测提交的值是不是含有SQL注射的字符...
在用php开发项目时很多时间我们模块化的开发,这时就可以可能存在很多安全隐藏了,下面是我总结的一些php 项目代码的安全总结,有需要了解的同学可参考。1: 基础型,include $module..php; $module假如直接用GET上得到, 那这是个非常毁灭性的bug, linux下让你痛不欲生, windows下让你倾家当产, 这类安全性一般都会被人直接发现, 而有效地阻止. 假如你连这点都没做到, 请问你是否称得上合格的程序员?2: 质的安全.许多人会说, 外部变量...
程序代码的安全是一个程序员对开发的应用方面的多方面的素质体现,下面我来总结一下自己的经验,有需要了解朋友可参考一下。 百度一下。设定open_basedir后只有指定的目录和子目录下的php脚本才会被执行。 用php读取open_basedir以外的目录或文件会报错 权限不足 一般虚拟主机供应商都是设定为/tmp和/home 这是用户习惯了,我们要想办法解决这些问题了,下面总结了一些php安全问题。 1.include的时候要小心,要判断你本地是否有这...
大家都知道使用$_REQUEST可以直接省去了判断post,get一些代码,使用起来更简单,但是如果要详细的去想我们会觉得$_REQUEST太可怕了。下面看分析。我们都知道,处理表单数据,可以使用PHP的$_GET和$_POST这两个超全局变量,具体是哪个由form表单提交时的method指定。除此之外PHP还为我们提供了$_REQUEST数组。但是其不仅包含$_GET和$_POST的所有数据元素,同时其还会包含$_COOKIE这个超全局数组的所有数据元素。 可是大家有没有想过...
文章介绍了大致的关于如何在 php.ini中做一些常用的安全配置,有需要的同学可参考一下。(1)打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键字文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2)用户组安全 当safe_mode打开时,safe_mode_gid被关闭,那...
本生成程序需要调用一些字体库哦,你可以调用你系统自带的一些字体,当然也可以像dedecms一样自己把字体放到一个目录,这样在服务器上也可以使用了。 代码如下 <?php public function captcha(){ $font_dir = $_SERVER ["DOCUMENT_ROOT"] . "your_ttf_file.ttf"; // 字体库 $img_w = 58; // 设置图片宽 $img_h = 20; // 设置图片高 $font_size = 11; // 字体大小 $angle_l = -10; // 左偏角 $angle_r = 10; // 右偏角 $cod...
本文章简单的利用一个实例来介绍了关于php防止sql注入的简单办法,有需要学习的朋友可以参考一下本文章哦。 方法一:密码比对 思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。 代码: 代码如下$sql="select password from users where username=$name";$res=mysql_query($sql,$conn);if ($arr=mysql_fetch_assoc($res)){//如果用户名存...
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证安全,PHP代码编写是一方面,PHP的配置更是非常关键。我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和S...
只要我们作好了各类操作就可在基本防止一些朋友利用网站本身的漏洞进行网站操作了,很多在php中都有的如XSS用 htmlentities()预防XSS攻击还有sql注入可以用mysql_real_escape_string操作等。PHP包括其他任何网络编程语言的安全性,具体表现在本地安全性和远程安全性两个方面,这里我们应该养成如下的几个习惯确保我们的PHP程序本身是安全的。 1、 验证用户输入的任何数据,保证PHP代码的安全 这里有一个技巧就是使用白名单,所谓白...
对于一些常见的输出目标(包括客户端、数据库教程和URL)的转义,PHP 中有内置函数可用。 如果你要写一个自己算法,做到万无一失很重要。需要找到在外系统中特殊字符的可靠和完整的列表,以及它们的表示方式,这样数据是被保留下来而不是转译了。 最常见的输出目标是客户机,使用htmlentities( )在数据发出前进行转义是最好的方法。与其它字符串函数一样,它输入是一个字符串,对其进行加工后进行输出。但是使用htmlentities( )函数...
获取会话ID的方式很多,攻击者可以通过查看明文通信来获取,所以把会话ID放在URL中或者放在通过未加密连接传输的Cookie中是很危险的;还有在URL中(作为_get()参数)传递会话ID也是不安全的,因为浏览器历史缓存中会存储URL,这样就很容易被读取。(可以考虑使用ssh进行加密传输) 主要的安全措施有以下两个方面。 1、防止攻击者获取用户的会话ID。 获取会话ID的方式很多,攻击者可以通过查看明文通信来获取,所以把会话ID放在URL中...
(1) 打开php教程的安全模式php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开:safe_mode = on(2) 用户组安全当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同组的用户也能够对文件进行访问。建议设置为:safe_m...
当要在防止页面攻击时,可在页面的头部include防攻击文件,就像通用防注入文件。我们可以用三种情况来办到: 1、在每个文件内引用。这样的文件是可以,不过如果一个网站内有几百个文件的话就不方便了。 2、在共同包含文件内引用一下,比如 config.inc.php教程。这是一个好办法,也是目前市场上比较流行的做法。 3、在php.ini中引用。在配置文件内引用的话,将影响到所有的网站,包含所有页面,这就像当年流行的一些免费空间商,当你...
php过滤不安全字符函数 function uh($str) {$farr = array("/\s+/",//过滤多余的空白"/<(\/?)(script|i?frame|style|html|body|title|link|meta|\?|\%)([^>]*?)>/isU",//过滤 <script 等可能引入恶意内容或恶意改变显示布局的代码,如果不需要插入flash等,还可以加入<object的过滤"/(<[^>]*)on[a-zA-Z]+\s*=([^>]*>)/isU",//过滤JavaScript的on事件);$tarr = array(" ","<\\1\\2\\3>", //如果要直接清除不安全的标签,这里可以留空...