- 博客(66)
- 问答 (61)
- 收藏
- 关注
RSS订阅原创 thinkphp自动验证---$_validate
thinkphp中的自动验证array(验证字段,验证规则,错误提示,[验证条件,附加规则,验证时间])1.验证字段需要验证的表单字段名称,这个字段不一定是数据库字段,也可以是表单的一些辅助字段,例如确认密码和验证码等等。有个别验证规则和字段无关的情况下,验证字段是可以随意设置的,例如expire有效期规则是和表单字段无关的。 2.验证规则要进行验证的规则,需要结合
2017-07-17 15:14:45
512
原创 递归创建目录
//递归创建函数 function Directory($dir){ return is_dir($dir) or $this->Directory(dirname($dir)) and mkdir($dir ,0777); }
2017-06-21 09:19:50
477
转载 PHP安全编程:文件包含的代码注入攻击
一个特别危险的情形是当你试图使用被污染数据作为动态包含的前导部分时:[php] view plaincopy include "{$_GET['path']}/header.inc"; ?> 在这种情形下攻击者能操纵不只是文件名,还能控制所包含的资源。由于PHP默认不只可以包含文件,还可以包含下面的资源(由配置文件中
2017-06-19 10:01:42
576
原创 PHP安全编程:阻止文件名被操纵
在很多情形下会使用动态包含,此时目录名或文件名中的部分会保存在一个变量中。例如,你可以缓存你的部分动态页来降低你的数据库服务器的负担。[php] view plaincopy include "/cache/{$_GET['username']}.html"; ?> 为了让这个漏洞更明显,示例中使用了$_GET。如果
2017-06-16 14:00:36
468
原创 PHP安全编程:留心后门URL
后门URL是指虽然无需直接调用的资源能直接通过URL访问。例如,下面WEB应用可能向登入用户显示敏感信息:[php] view plaincopy $authenticated = FALSE; $authenticated = check_auth(); /* ... */ if ($authenticated)
2017-06-16 13:59:32
538
原创 PHP安全编程:防止源代码的暴露
关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况: 对包含文件使用.inc的扩展名包含文件保存在网站主目录下Apache未设定.inc文件的类型Apache的默认文件类型是text/plain 上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上
2017-06-16 13:58:28
1551
转载 PHP安全编程:session劫持的防御
session 数据暴露会话数据常会包含一些个人信息和其它敏感数据。基于这个原因,会话数据的暴露是被普遍关心的问题。一般来说,暴露的范围不会很大,因为会话数据是保存在服务器环境中的,而不是在数据库或文件系统中。因此,会话数据自然不会公开暴露。使用SSL是一种特别有效的手段,它可以使数据在服务器和客户端之间传送时暴露的可能性降到最低。这对于传送敏感数据的应用来说非常重要。SSL在HTTP
2017-06-16 13:57:31
671
翻译 PHP安全编程:session固定获取合法会话
关于会话,需要关注的主要问题是会话标识的保密性问题。如果它是保密的,就不会存在会话劫持的风险了。通过一个合法的会话标识,一个攻击者可以非常成功地冒充成为你的某一个用户。一个攻击者可以通过三种方法来取得合法的会话标识:猜测捕获固定PHP生成的是随机性很强的会话标识,所以被猜测的风险是不存在的。常见的是通过捕获网络通信数据以得到会话标识。为了避免会话标识被捕获的
2017-06-16 13:54:57
363
转载 PHP安全编程:cookie暴露导致session被劫持
使用Cookie而产生的一个风险是用户的cookie会被攻击者所盗窃。如果会话标识保存在cookie中,cookie的暴露就是一个严重的风险,因为它能导致会话劫持。PHP为你处理相关会话管理的复杂过程最常见的cookie暴露原因是浏览器漏洞和跨站脚本攻击(见专题前几部分)。虽然现在并没有已知的该类浏览器漏洞,但是以往出现过几例,其中最有名的一例同时发生在IE浏览器的4.0,5.
2017-06-16 13:53:38
697
转载 PHP安全编程:防止SQL注入
SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞,一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的
2017-06-16 13:50:41
9348
转载 PHP安全编程:不要暴露数据库访问权限
数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如:[php] view plaincopy $db_user = 'myuser'; $db_pass = 'mypass'; $db_host = '127.0.0.1'; $db = mysql
2017-06-16 13:47:41
924
原创 PHP安全编程:跨站请求伪造CSRF的防御
跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上,如果没有对跨站请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单:[ph
2017-06-16 13:39:31
230
原创 PHP安全编程:跨站脚本攻击的防御
跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮助用户进行
2017-06-16 13:37:06
317
原创 PHP安全编程:文件上传攻击的防御
有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:[php] view plaincopy"upload.php" method="POST" enctype="multipart/form-data"> 一个同时有普通表单
2017-06-16 13:34:57
872
转载 PHP安全编程:从URL的语义进行攻击
好奇心是很多攻击者的主要动机,语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如,如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris, 很自然地他可能会试图改变user的值,看看会发生什么。例如,他可能访问http://example.org/private.php?
2017-06-16 12:04:10
287
转载 PHP安全编程:表单与数据安全
在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。数据可能有无数的来源,做为一个有安全意识的开发者,你需要简单可靠地区分两类数据:已过滤数据被污染数据所有你自己设定的数据可信数据,可以认为是已过滤数据。一个你自己设定的数据是任何的硬编码数据,例如下面的email地址数据:$email = 'gonn
2017-06-16 12:00:59
405
转载 PHP安全编程:对输出要进行转义
另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。我所指的输出转义具体分为三步:识别输出 输出转义区分已转义与未转义数据只对已过滤数据进行转义是很有必要的。尽管转义能防止很多常见安全
2017-06-16 11:58:35
966
原创 Javascript Jquery 中的数组定义与操作
1.认识数组数组就是某类数据的集合,数据类型可以是整型、字符串、甚至是对象Javascript不支持多维数组,但是因为数组里面可以包含对象(数组也是一个对象),所以数组可以通过相互嵌套实现类似多维数组的功能1.1 定义数组声明有10个元素的数组var a = new Array(10);此时为a已经开辟了内存空间,包含10个元素,用数组名称加 [下标]
2017-06-16 11:23:56
321
转载 PHP安全编程:过滤用户输入
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。我所指的过滤输入是指三个不同的步骤:识别输入过滤输入区分已过滤及被污染数据把识别输入作为第一步是因为如果你不知道它是什么,你也就不能正确地过
2017-06-16 09:43:13
411
转载 PHP安全编程:不要让不相关的人看到报错信息
没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。由于出错报告的级别设定可以导致有些错误无法
2017-06-16 09:39:42
160
原创 PHP安全编程:网站安全设计的一些原则
深度防范深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。回到编程领域,坚持深度防范原则要求您时刻有一个备份方案。如果一个安全措施失效了
2017-06-16 09:38:36
246
原创 PHP安全编程:防止源代码的暴露
关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况: 对包含文件使用.inc的扩展名包含文件保存在网站主目录下Apache未设定.inc文件的类型Apache的默认文件类型是text/plain 上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上
2017-06-16 09:36:40
615
原创 Neditor 1.4.4 发布,基于 Ueditor 的富文本编辑器
Neditor 1.4.4 正式版发布,更新如下:1. 重绘了ueditor 的所有图标2. 合并ueditor 1.4.3的更新3. 增补了之前缺少的SVG图片4. 优化了chrome下的SVG渲染码云地址:http://git.oschina.net/notadd/neditor/releases/v1.4.4Github 地址:https:
2017-06-16 09:16:46
661
转载 mysql获取分组后每组的最大值
1. 测试数据库表如下:[html] view plain copy create table test ( `id` int not null auto_increment, `name` varchar(20) not null default '', `score` int not null default 0,
2017-06-14 17:18:18
1634
1
原创 生成短连接的另一种方法
function shortUrl2($url){ $result = sprintf("%u",crc32($url)); $show = ''; while($result >0){ $s = $result % 62; if($s > 35){ $s=chr($s+61); }elseif($s>9 && $s<=35){ $s=chr($s+55); }
2017-06-12 18:09:58
355
原创 生成GUID算法
class System{ function currentTimeMillis() { list($usec, $sec) = explode(" ",microtime()); return $sec.substr($usec, 2, 3); }}class NetAddress{ var $Name = 'localhost'; var $IP = '127.0.0
2017-06-09 11:21:27
1944
转载 微博URL短网址生成算法原理及(java版、php版实现实例)
短网址(Short URL),顾名思义就是在形式上比较短的网址。通常用的是asp或者php转向,在Web 2.0的今天,不得不说,这是一个潮流。目前已经有许多类似服务,借助短网址您可以用简短的网址替代原来冗长的网址,让使用者可以更容易的分享链接。例如:http://t.cn/SzjPjA 短网址服务,可能很多朋友都已经不再陌生,现在大部分微博、手机邮件提醒等地方已经有很多应用模式了
2017-06-09 11:03:25
2066
转载 mysql分组取每组前几条记录(排序)
[sql] view plaincopyCREATE TABLE `mygoods` ( `goods_id` int(11) unsigned NOT NULL AUTO_INCREMENT, `cat_id` int(11) NOT NULL DEFAULT '0', `price` tinyint(3) NOT NULL DEFAULT '0',
2017-06-07 18:02:01
32058
2
转载 mysql insert锁机制
一、前言上周遇到一个因insert而引发的死锁问题,其成因比较令人费解。于是想要了解一下insert加锁机制,但是发现网上介绍的文章比较少且零散,挖掘过程比较忙乱。本以为只需要系统学习一个较完全的逻辑,但是实际牵扯很多innodb锁相关知识及加锁方式。我好像并没有那么大的能耐,把各种场景的加锁过程一一列举并加之分析;亦没有太多的精力验证网上的言论的准确性。只好根据现在了解的内容,参
2017-05-27 18:12:50
479
转载 MySQL之事务&隔离级别&死锁
MySQL之事务&隔离级别&死锁事务是并发控制的基本单位。它是一个涉及到大量CPU和I/O操作的操作序列,这些操作作为一个处理单元来对待,要么都执行,要么都不执行,它是一个不可分割的工作单位。一般来说能够启动事务的操作是一组SQL语句,或者是ODBC当中启动事务的指令。 例如,银行转账工作:从一个账号扣款并使另一个账号增款,这两个操作要么都执行,要么都不执行。事务是数据库维护数据一致性的单位,
2017-05-27 18:09:34
500
转载 PHP设计模式——概述
声明:本系列博客参考资料《大话设计模式》,作者程杰。 常见的面向对象设计模式大约有23种,但是自从接触PHP后,渐渐发现常见的设计模式好像少了很多,网络上的资料也比较少,身边的PHP同事们有的甚至没有听说过设计模式,这也有可能是PHP的发展所带来的,因为PHP对面向对象支持的比较晚,好多PHP程序员还按照面向过程的思想写代码。于是,我决定把原来用C#写的
2017-05-16 18:00:35
202
转载 PHPStorm 常用 设置配置 和快捷键大全 Win/Mac
PHPStorm 下载及主题样式下载http://www.lanmps.com/html/tools.html 风.fox主题Preferences->Appearance & Behavior ->Appearance Theme 选择 Darcual界面字体及大小Preferences->Appearance & Behavior ->Appea
2017-05-16 16:08:53
926
转载 100个常用的 PHP 类库、资源和技巧小结
收集整理一些常用的PHP类库, 资源以及技巧. 以便在工作中迅速的查找所需...学习资源PHP相关的有参考价值的社区,博客,网站,文章,书籍,视频等资源PHP网站(PHP Websites)PHP The Right Way 一个PHP实践的快速参考指导PHP书籍(PHP Books)Modern PHP - 作者是PHP 之道的发起人和
2017-05-12 10:25:19
562
转载 100个常用的 PHP 类库、资源和技巧小结
1.html2ps and html2pdf 下载地址: http://www.tufat.com/script19.htmhtml2ps能够把带有图片,复杂表格(包含rowspan/colspan) ,layer/div和css样式的HTML转换成Postscript与PDF。html2ps对CSS2.1支持非常好,并且很好地兼容不正确的HMTL。2.Sphider 下载地址: ht
2017-05-12 10:23:37
327
转载 mysql随机获取一条或者多条数据
研究一些随机的因素,主要是讲究效率问题。语句一:select * from users order by rand() LIMIT 1MYSQL手册里面针对RAND()的提示大概意思就是,在 ORDER BY从句里面不能使用RAND()函数,因为这样会导致数据列被多次扫描,导致效率相当相当的低,效率不行,切忌使用。---------分隔线--------------
2017-05-10 17:20:54
317
原创 MYSQL优化建议
同时在线访问量继续增大 对于1G内存的服务器明显感觉到吃力严重时甚至每天都会死机 或者时不时的服务器卡一下 这个问题曾经困扰了我半个多月MySQL使用是很具伸缩性的算法,因此你通常能用很少的内存运行或给MySQL更多的被存以得到更好的性能。 安装好mysql后,配制文件应该在/usr/local/mysql/share/mysql目录中,配制文件有几个,有my- huge.
2017-05-10 16:35:19
228
转载 【《代码整洁之道》精读与演绎】之五 整洁类的书写准则
分类:【读书笔记】(7) 目录(?)[+]本系列文章由@浅墨_毛星云 出品,转载请注明出处。 文章链接: http://blog.csdn.NET/poem_qianmo/article/details/52344732作者:毛星云(浅墨) 微博:http://weibo.com/u/172315544
2017-02-11 11:32:43
178
转载 【《代码整洁之道》精读与演绎】之四 优秀代码的格式准则
分类:【读书笔记】(7) 目录(?)[+]本系列文章由@浅墨_毛星云 出品,转载请注明出处。 文章链接: http://blog.csdn.net/poem_qianmo/article/details/52268975作者:毛星云(浅墨) 微博:http://weibo.com/u/1723155442
2017-02-11 11:32:00
165
转载 【《代码整洁之道》精读与演绎】之三 整洁代码的函数书写准则
分类:【读书笔记】(7) 目录(?)[+]本系列文章由@浅墨_毛星云 出品,转载请注明出处。 文章链接: http://blog.csdn.net/poem_qianmo/article/details/52204224作者:毛星云(浅墨) 微博:http://weibo.com/u/1723155442
2017-02-11 11:31:13
208
转载 【《代码整洁之道》精读与演绎】之二 高质量代码的命名法则
本系列文章由@浅墨_毛星云 出品,转载请注明出处。 文章链接: http://blog.csdn.net/poem_qianmo/article/details/52144086作者:毛星云(浅墨) 微博:http://weibo.com/u/1723155442 本文与大家聊一聊编程中非常关键的一个点,如何更好的对代码命名。
2017-02-11 11:29:35
197
空空如也
请问这个问题怎么解决????
2020-03-29
egg.js安装egg-view-nunjucks模块后,一直提示其他的模块不存在
2018-07-19
mysql 获取三天内每小时用户注册量的总数,这个sql语句应该怎么写?
2017-03-26
jquery实现点击按钮某一列按照数字大小进行排序
2016-09-11
url正则验证,php,微信链接
2016-09-06
求助下,微信提示redirect_uri参数错误。。。
2016-08-04
Yii2修改成功后跳回带搜索参数的首页怎么实现?
2016-06-25
mysql计算问题。。。~~~
2016-06-12
采集遇到编码问题,请问大神怎么解决
2016-06-11
sql 插入语句报错,请教大神们
2016-06-09
Xpath抓取网页数据使用实例
2016-06-07
ajax 异步 给多个对象循环绑定异步事件
2016-06-01
IIS6.0写入权限给予失败?
2016-05-18
IIS6.0 用户权限设置问题
2016-05-10
php 直接读取js数组。。。
2016-05-03
请问一下eclipse那个代码提示框里的背景颜色怎么设置?
2016-04-10
mysql数据库去除重复数据
2016-03-07
mysql主从备份,同步不成功问题。。。。。。
2015-12-01
IIS7.5文件权限配置问题
2015-10-21
IIS7.5配置文件写入问题
2015-10-20
php5.3 连接mssql问题
2015-10-09
smarty 模版引擎block疑问
2015-09-29
windows 设置程序开机启动
2015-09-25
apache关于url重写问题
2015-09-16
discuz 3.2 出现邮箱地址无效
2015-09-15
来个dedecms高手,dedecms 修改后台问题
2015-09-14
ajax 传输数据时出现的http状态码问题
2015-09-10
window 批处理命令 问题
2015-09-08
flash修改url问题。。。。。。。。。。。。。。。
2015-08-20
dedecms 标签定义问题
2015-08-11
dedecms 自定义标签问题
2015-08-10
php定界符嵌入php代码问题
2015-07-30
mysql 获取连续值的个数
2015-07-29
利用mysql内部机制执行运算问题
2015-07-28
asp编译问题..............
2015-07-25
asp net 错误问题.....
2015-07-22
汉字转unicode问题,求实例...
2015-07-21
TA创建的收藏夹 TA关注的收藏夹
TA关注的人