问题 关于register globals设置为TRUE的危害 解决方法 关于register globals设置为TRUE的危害 应该很多人看过把register globals设置为on是非常危险的,但是怎么危险法呢??应该很多新手不知道的!所以我就简单说说register globals设置为on的危害吧! 先看看下面的代码: 在config.php文件中有一下的代码: $GLOBALS[‘host’] = 'localhost';$GLOBALS[‘username’] = 'root';$GLOBALS[‘password’] = '';$GLOBALS[‘database’] ...
在php中open_basedir是php中一个用得不多的函数,但是open_basedir函数一不小心就给人家给进入你服务器了,open_basedir到底有多神奇我们来看看吧。先看一段我们不考虑open_basedir安全问题代码 在php写了句require_once ‘../Zend/Loader.php’; 报错: Warning: require_once() [function.require-once]: open_basedir restriction in effect. File(../Zend/Loader.php) is not within the allowed path(s): (D:/phpnow/vhosts/...
php生成一个随机的密码,方便快捷,可以随机生成安全可靠的密码,希望此文章对大家会有所帮助。 例代码如下header("Content-type:text/html;charset=utf-8"); function getRandPass($length = 6){$password = '';//将你想要的字符添加到下面字符串中,默认是数字0-9和26个英文字母$chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";$char_len = strlen($chars);for($i=0;$i$loop = mt_rand(0, ($char_len...
open_basedir的作用就是指定目录位置了,意思是将PHP 所能打开的文件限制在指定的目录树,包括文件本身了,并且不受是不是安全模式的影响。 如下是php.ini中的原文说明以及默认配置: ; open_basedir, if set, limits all file operations to the defined directory ; and below. This directive makes most sense if used in a per-directory or ; per-virtualhost web server configuration file. This directive is ; *NOT* a...
本文章以自己的一些经验来告诉你黑客朋友们会怎么利用你数据库的sql漏洞来把你的数据库下载哦,有需要的同这参考一下本文章。在数据库中建立一张表:代码如下 CREATE TABLE `article` (`articleid` int(11) NOT NULL AUTO_INCREMENT,`title` varchar(100) CHARACTER SET utf8 NOT NULL DEFAULT ,`content` text CHARACTER SET utf8 NOT NULL,PRIMARY KEY (`articleid`) ) ENGINE=MyISAM AUTO_INCREMENT=7 DEFAULT CHARSET=latin1;在...
我在在php管方下载php版时会看到有一个,None-Thread Safe与Thread Safe版了,那么这两个版本到底有什么区别,但仔细一下看面有介绍是建义我们使用线程安全,而非线程序安全用于测试。先从字面意思上理解,None-Thread Safe就是非线程安全,在执行时不进行线程(thread)安全检查;Thread Safe就是线程安全,执行时会进行线程(thread)安全检查,以防止有新要求就启动新线程的 CGI 执行方式耗尽系统资源。 再来看PHP的两种执行方式...
大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样,PHP也有几个很危险的安全漏洞。所以在这篇教学文章中,我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。 技巧1:使用合适的错误报告 一般在开发过程中,很多程序员总是忘了制作程序错误报告,这是极大的错误,因为恰当的错误报告不仅仅是最好的调试工具,也是极佳的安全漏洞检测工具,这能让你把应用真正上线前尽可能找出你将会遇到的...
一、文件系统安全php如果具有root权限,且在脚本中允许用户删除文件,那么用户提交数据,不进行过滤,就非常有可能删除系统文件 // 从用户目录中删除指定的文件$username = $_POST['user_submitted_name'];$userfile = $_POST['user_submitted_filename'];$homedir = "/home/$username";unlink ("$homedir/$userfile");echo "The file has been deleted!";?>上面的代码,假设用户提交的$userfile值是 ../etc/,那么/etc目录就会被删...
我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最后,我会一步步阐述如何使用一些简单,高效的方法来提高你的php应用程序的安全性以及稳定行。 我想大多数的php初级程序员一定会认为php默认的session机制的安全性似乎是有一定保障的,事实恰好相反 – php团队只是提供了一套便捷的session的解决方案提供给程序员使用,至于安全性的话,应该由程序员来加强,这是应用程序开发团...
绝不要信任外部数据或输入关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。例如,下面的数据元素可以被认为是安全的,因为它们是在 PHP 中设置的。但是,下面的数据元素都是有瑕疵的。为什...
浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。 目录:1、php一些安全配置(1)关闭php提...
从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本,这是由于与Linux/Unix系统是采用 多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢,这是由于CGI模式是建立在多进程 的基础之上的,而非多线程。一般我们会把PHP配置成以ISAPI的方式来运行,ISAPI是多线程的方式,这样就快多了。但存在一个问题,很多常用的 PHP扩展是以Linux/Unix的多进程思想来开发...
做web开发以来作者经常接到给人家网站做安全升级这种活儿,而接到的这些活儿中,大部分都是通过织梦cms搭建起来的网站,由于被攻击导致这样那样的问题。下面作者对于使用织梦cms搭建的网站的推荐几种简单有效的安全做法,欢迎大家指正。 1、更改数据库表的前缀通配符 这里说的前缀通配符不是指安装时输入的数据库表名的前缀,而是指系统源码中的“#@_”字符串。 我曾经在自己一个被黑的网站中看到很多来路不明的文件中写了很多直接...
现在的互联网环境越来越严峻,安全,一直是程序开发者及站长的一个不可忽视的问题,如何选择一个易用、安全的程序,如何搭建一个安全的服务器环境,一直是广大站长迫切希望了解的,本篇结合服务器及DedeCms来进行一个安全使用的环境配置。 1、目录权限 我们不建议用户把栏目目录设置在根目录,原因是这样进行安全设置会十分的麻烦,在默认的情况下,安装完成后,目录设置如下: (1) data、templets、uploads、a或5.3的html目录,设...
一、过滤输入、避免输出 有时我们将短语“过滤输入、避免输出”缩写为FIEO,这已成为PHP应用程序的安全真言。 1、利用ctype进行验证 ctype:http://php.com/ctype 2、利用PCRE(Perl兼容的正则表达式)进行验证 PCRE:http://php.com/pcre 二、跨站脚本 跨站脚本通常简称为XSS,攻击载体以在应用程序输出中由用户提供的变量所在位置为目标,但该变量没有适当地转义。这允许攻击者注入他们选择的一个客户端脚本作为这个变量值的一部...