网上这么说:先安装php5,加上--maintainer-zts 然后安装pthreads cd /usr/local/src/ wget http://pecl.php.com/get/pthreads-2.0.5.tgz tar zxvf pthreads-2.0.5.tgz cd pthreads-2.0.5 /usr/local/php5.5.12-zts/bin/phpize ./configure --with-php-config=/usr/local/php5.5.12-zts/bin/php-config make make install 我的问题是,我下载了这个pthreads,里面根本就没有configure?这个该怎么编译? ...
www.1.com/a.php 填写资料页面 www.1.com/b.php 保存数据页面 b.php用HTTP-REFERER 判断来源页是否是a.php 这样能起到一定的安全作用吗? 回复讨论(解决方案) 可以的 也可以使用session也可以使用隐藏域增加一个formkey来做唯一标识,有很多种方式你那种也可以,但是遇到模拟提交的话就不好说了哟。 可以,但用?不大,因?header是可以模?的。 所以做好服?器端????是必要的。 这个只能防君子不防小人。 ...
上传网站时总是出现 未定义的常量及变量的警告。安装网站时出现 You don't have permission to access /blog/onSubmit="return on this server. 但是httpd-conf已经改过了。。。 回复讨论(解决方案) 文件夹没有权限吧 onSubmit是html哦,怎??做了文件?。 明?是??有?? /blog/onSubmit="return on this server. 这个是哪里出现? 如果是服务的原因,查看apache日志。 You dont have permis...
一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外,还有写入权限。因此,存在着编写一段允许其他用户添加,编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单: 脚本inject.php执行由表单所指定的修改: $sess_data){ $_SESSION = $sess_data; $sess_data = session_encode; file_put_contents("$path/$sess_name", $...
安全配置一 (1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd, 但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2) 用户组安全 当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相...
PHP是广泛使用的开源服务端脚本语言。通过HTTP或HTTPS协议,Apache Web服务允许用户访问文件或内容。服务端脚本语言的错误配置会导致各种问题。因此,PHP应该小心使用。以下是为系统管理员准备的,安全配置PHP的25个实践事例。 用于下文的PHP设置样例 DocumentRoot:/var/www/html 默认Web服务:Apache(可以使用Lighttpd或Nginx代替) 默认PHP配置文件:/etc/php.ini 默认PHP Extensions配置目录:/etc/php.d/ ...
简介 如果最近你在美国看电视,你会经常看到一个广告??一个和蔼友善的家伙说“我希望我的电脑被病毒感染”,“我希望所有我家的照片都被人删除,找不回来。”或“我希望我的笔记本运转的声音听起来像打雷。” 当然,没有一个正常人希望遇到这样的痛苦,但如果你不对自己的电脑采取保护措施,结果就是让黑客得逞。你需要理解,这就像在你家里,车或钱袋子,你不能让它们都敞着口放在外面,你不能认为陌生路人都是可信的。大部分...
请教一下 有知道原理的吗? 回复讨论(解决方案) 微信/weibo 普通接口基本都会需要token/openid,这就已经卡掉一大部分混水的吧,并且高级接口还需要认证或申请的,其他的接口监听,有异常肯定会及时发现的,安全并不是绝对的 微信/weibo 普通接口基本都会需要token/openid,这就已经卡掉一大部分混水的吧,并且高级接口还需要认证或申请的,其他的接口监听,有异常肯定会及时发现的,安全并不是绝对的 能否大概说一...
PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等)。本文例举了十大PHP最佳安全实践方式,能够让您轻松、安全配置PHP。 PHP安全性设置提示: DocumentRoot: /var/www/ Default Web server: Apache Default PHP configuration file: /etc/php.ini Default PHP extensions config directory: /etc/php.d/ Our sample ph...
我一个学java的朋友说大公司都用JAVA,因为安全。不让我学PHP。又听说PHP有HHWM,安全效率。我有点纠结了。 HHWM是不是很成熟的技术呢,安全和速度都提升了吗? 回复讨论(解决方案) 只要是人写的都会有漏洞...别太纠结 语言本身并不存在安全问题 HHWM 可将 php代码编译成字节代码(类似Java),但运行时需要虚处理器 该字节代码还可进一步编译成机器代码,运行时就不需要环境支持了 由于 HHWM 并不是支持 php 的...
1. $_FILES 是用户浏览器提交的数据,用户是否可以恶意修改$_FILES数组? 恶意: 上传的文件名会不会出现 特殊字符. 回复讨论(解决方案) 完全可以把. <>字符是可以的。 只是在windows下不行。 $_FILES 不可被用户修改 只有傻瓜才会直接使用上传的文件名
我一个网站,用手机版访问 有2个超链接, 一个是修改 还有一个是删除 当我点击修改的时候,弹出一个DIV,这时注意,“关闭按钮”位于删除超链接旁, 点击关闭,连带着也碰到了删除。 最诡异的是删除操作,我加了javascript判断, onclick="return confirm('您确定要删除?');" 正常的点击删除,是会报警告信息的 但是这样的误操作居然没起效果, 刷新一下之后,发现数据被删除 我昨天已经奇怪了,还以为有...
整理一些PHP开发安全问题 php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介 当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如...
SecurityMultiTool 是 PHP 多工具安全相关库,它提供推荐安全相关库的访问、安全防御的标准化实施、经常执行的任务的安全实施。 建立此库的目的是用于服务公共事业,并且能作为一组参考以供学习。它可以被任何应用程序使用,不管他们是不是基于 Web 框架。使用 Web 框架与否无法保证你的安全。 项目主页:http://www.open-open.com/lib/view/home/1437536006068
简介 要提供互联网服务,当你在开发代码的时候必须时刻保持安全意识。可能大部分 PHP 脚本都对安全问题都不在意,这很大程度上是因为有大量的无经验程序员在使用这门语言。但是,没有理由让你因为对你的代码的不确定性而导致不一致的安全策略。当你在服务器上放任何涉及到钱的东西时,就有可能会有人尝试破解它。创建一个论坛程序或者任何形式的购物车,被攻击的可能性就上升到了无穷大。 背景 为了确保你的 web 内容安全,这...