分类目录归档:全部列表

2016
03-12

PHP安全-访问权限暴露

 访问权限暴露 数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如:CODE: <?php $db_user='myuser';$db_pass='mypass';$db_host='127.0.0.1'; $db=mysql_connect($db_host,$db_user,$db_pass); ?>用户名及密码都是敏感数据,是需要特别注意的。他们被写在源码中造成了风险,但这是一个无法避免的问... 继续阅读 >
2016
03-12

PHP安全-HTTP请求欺骗

 HTTP请求欺骗 一个比欺骗表单更高级和复杂的攻击方式是HTTP请求欺骗。这给了攻击者完全的控制权与灵活性,它进一步证明了不能盲目信任用户提交的任何数据。  为了演示这是如何进行的,请看下面位于http://example.org/form.php的表单:CODE:  <formaction="process.php"method="POST"> <p>Pleaseselectacolor: <selectname="color">  <optionvalue="r... 继续阅读 >
2016
03-12

PHP安全-欺骗表单提交

欺骗表单提交 制造一个欺骗表单几乎与假造一个URL一样简单。毕竟,表单的提交只是浏览器发出的一个HTTP请求而已。请求的部分格式取决于表单,某些请求中的数据来自于用户。 大多数表单用一个相对URL地址来指定action属性: <formaction="process.php"method="POST">  当表单提交时,浏览器会请求action中指定的URL,同时它使用当前的URL地址来定位相对URL。例如,如果之前的表单是对http://e... 继续阅读 >
2016
03-12

PHP安全-跨站请求伪造

跨站请求伪造 跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上,如果没有对跨站请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。  请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单:CODE:&... 继续阅读 >
2016
03-12

PHP安全-跨站脚本攻击

 跨站脚本攻击 跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例,它使用了下面的表单帮... 继续阅读 >
2016
03-12

PHP安全-文件上传攻击

文件上传攻击 有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data:CODE: <formaction="upload.php"method="POST"enctype="multipart/form-data">一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。 允许用户进行选择文件并上传的表单... 继续阅读 >
2016
03-12

PHP安全-语义URL攻击

 语义URL攻击   好奇心是很多攻击者的主要动机,语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如,如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris,很自然地他可能会试图改变user的值,看看会发生什么。例如,他可能访问http://example.org/private.php?user=rasmus来看一下他是否能看到其他人的信息。虽然... 继续阅读 >
2016
03-12

PHP安全-表单与数据

表单与数据    在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。    数据可能有无数的来源,做为一个有安全意识的开发者,你需要简单可靠地区分两类数据: l    已过滤数据l    被污染数据     所有你自己设定的... 继续阅读 >
2016
03-12

为什么程序员都有点怪? HOT

自己做了n年的程序员,也和各种形形色色的程序员合作了n年,回顾总结,发现不管程序员性格是外向的还是内向的,是多话的还是沉默寡言的,他们或多或少都有如下的怪癖,区别只在于怪癖的严重程度。1.别人写的代码总是比自己差,我情愿重写也不要用别人这个现象不用多阐述,如果你是程序员,应该深有感悟。如果你还觉得感悟不深刻,你就看看你公司代码里面是不是有类似于多个版本的诸如threadpool啊,o... 继续阅读 >
2016
03-12

毁灭程序员的15个障碍,你千万别踩! HOT

毁灭程序员的15个障碍,你千万别踩! 会议,什么都不懂的经理,生产效率指标——这就是你和下一个伟大软件之间的天堑。昨天必须得发布产品。用户争闹和咆哮某个缺失的功能。老板的老板说,我们最好迅速行动起来否则就炒我们的鱿鱼。感觉一切都有心无力。没有人满意开发人员这种已经“竭尽全力”改变世界的速度,每个人都希望代码像消防水管里的水一样能够源源不断地流出来,但没有人愿意提供给开发人员更好地完成工作的条件。正如那个想要我们昨天就完成工作的老板... 继续阅读 >
2016
03-11

亚马逊美国网站“挂了”20分钟,网友炸锅

3月11日消息,据国外媒体报道,亚马逊网站于今日发生了20分钟的服务中断事故,此次事故将造成巨大的经济损失。美国当地时间下午2:20左右,用户在试图登录亚马逊网站时接受到一个错误提示:“对不起,在我们处理你的请求时发生了一个错误。我们正在尽快处理这个错误。”亚马逊这一大型服务器宕机事故在美国网民和网站消费者中引发了热议,许多网民在Twitter表达自己的不满情绪。在出现事故的20分钟后,亚马逊网站恢复正常,... 继续阅读 >
2016
03-11

“雷军”变成电动车名:小米怒告侵权索赔50万

因在电动车上使用了类似小米的标识及“雷军电动”字样,小米公司起诉潍坊瑞驰公司索赔。记者上午获悉,海淀法院开庭审理了此案。小米公司诉称,该公司于2012年在第12类电动运载工具上申请注册了小米商标。雷军作为公司创始人及法定代表人,为公众广为熟知,雷军目前已将其姓名在商业活动中使用的权利授予小米公司。2015年,小米公司发现,潍坊瑞驰公司生产销售的一款名为“雷军电动”的电动车,不仅在车身显著部分使用类似小米... 继续阅读 >
2016
03-11

只有高中学历的我是怎样加入谷歌的?

个人经历我两年前加入谷歌的时候,很多人要我写篇文章讲讲我的经历以及我怎么做到的。我保证过会写但迟迟没有动笔。或许因为我比较害羞,或许因为没时间,或许我只是觉得,很可能错误地认为,我的经历没那么有趣。我终于决定正视这个承诺,动笔写一写。我希望没有太晚,能给大家一些帮助。我会尽力的整理我的经历和故事,并从中总结出一些建议... 继续阅读 >
2016
03-11

许我一个AI,给你2000年不变的爱

李世石大战AlphaGoBethechangeyouwanttoseeintheworld!如果你希望看到什么改变,就成为这个改变。今天在静静地看着网易老总丁磊“反人类”的花了一万元赌Alphago赢。本想当个热闹,静静的看着有钱人装个逼。可是一看就不可收拾了,毕竟alphago打败了“飞禽岛少年”李世石,不免想起小学时还一心热爱的围棋。那时候为了训练思维,报了围棋兴趣爱好班,学了一年。算是入门级业余选手吧。... 继续阅读 >
2016
03-11

转行程序员的故事

人的一生会面临很多重要选择,转行正是其中之一。最近,在招聘面试碰到两个程序员,他们一个是毕业于中医药大学,在药房工作2年后转行程序员工作了3年。另外一个主修环境工程专业,在该行业工作9年后才转行程序员,并在这行干了5年。说实话,今天的IT从业环境真的说不上很好,最近还看了另一篇文章《搞IT的到底怎么了》,可见这行的浮躁与茫然。转行做程序员,我想是需要勇气的。回想起来,我好像... 继续阅读 >
2016
03-11

一条祝福短信引发的小程序

数学美2016=666+666+666+6+6+6祝大家2016年顺心随意!顺风顺水!六六大顺!2016=888+888+88+88+8+8+8+8+8+8+8+8,祝大家2016年事业兴旺发达!一路发!2016=999+999+9+9祝大家幸福的日子长长久久!不知道大家有没有收到过这样一条祝福微信,大概意思是发现2016这个数字好神奇,可以完全用若干个单一数字组成的数字加和来表示。自己很好奇这是怎么被发现的,思索了一下发现其实思路不难。以2016=9... 继续阅读 >
2016
03-11

程序员的一天

程序员的生活很简单,天天对着电脑,偶尔休息了也在家看看电影,打打游戏,我也是一枚程序员,我简单的说下,我这天天的生活吧早上起来的时候,一般都是9:00上班,然后定闹钟定到6:30一个6:40一个6:50一个然后到7:00的时候再响就开始抱怨,今天晚上一定要早点谁,然后起来,穿衣服,上厕所,刷牙洗脸,二十分钟搞定。在路边买两个包子,然后去挤公交或者地铁,人山人海啊正好9:00到公司,... 继续阅读 >
2016
03-11

这里,有世界一流IT公司却有9亿人无法上网

3月10日消息,据外电报道,印度号称拥有很多世界一流的IT公司、科技企业家和数字初创公司。然而,这个国家却有将近9亿人无法访问互联网。据皮尤研究中心(PewResearchCenter)的统计数据显示,在2015年,印度只有22%的成年人可以上网,远远落在中国和巴西等发展中国家后面。中国和巴西这两个国家的成年人上网率分别达到了65%和60%。为了弄清楚为什么这么多印度人无法上网,交流与发展研究中心(CentreforCommunicationand... 继续阅读 >
2016
03-11

PHP安全-输出转义

输出转义    另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。    我所指的输出转义具体分为三步:l    识别输出l    输出转义l   &n... 继续阅读 >
2016
03-11

PHP安全-过滤输入

过滤输入    过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。     我所指的过滤输入是指三个不同的步骤: l    识别输入l    过... 继续阅读 >
2016
03-11

PHP安全-跟踪数据

跟踪数据   作为一个有安全意识的开发者,最重要的一件事就是随时跟踪数据。不只是要知道它是什么和它在哪里,还要知道它从哪里来,要到哪里去。有时候要做到这些是困难的,特别是当你对WEB的运做原理没有深入理解时。这也就是为什么尽管有些开发者在其它开发环境中很有经验,但他对WEB不是很有经验时,经常会犯错并制造安全漏洞。   大多数人在读取EMAIL时,一般不会被题为"Re:H... 继续阅读 >
2016
03-11

PHP安全-平衡风险与可用性

平衡风险与可用性   用户操作的友好性与安全措施是一对矛盾,在提高安全性的同时,通常会降低可用性。在你为不合逻辑的使用者写代码时,必须要考虑到符合逻辑的正常使用者。要达到适当的平衡的确很难,但是你必须去做好它,没有人能替代你,因为这是你的软件。   尽量使安全措施对用户透明,使他们感受不到它的存在。如果实在不可能,就尽量采用用户比较常见和熟悉的方式来进行。例如,在... 继续阅读 >
2016
03-11

PHP安全-暴露最小化

暴露最小化   PHP应用程序需要在PHP与外部数据源间进行频繁通信。主要的外部数据源是客户端浏览器和数据库。如果你正确的跟踪数据,你可以确定哪些数据被暴露了。Internet是最主要的暴露源,这是因为它是一个非常公共的网络,您必须时刻小心防止数据被暴露在Internet上。   数据暴露不一定就意味着安全风险。可是数据暴露必须尽量最小化。例如,一个用户进入支付系统,在向你的服务器传输... 继续阅读 >