分类目录归档：PHP技术

2016
03-12

PHP安全-访问权限暴露

 访问权限暴露 数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便，一般都会用一个db.inc文件保存，如：CODE: <?php $db_user='myuser';$db_pass='mypass';$db_host='127.0.0.1'; $db=mysql_connect($db_host,$db_user,$db_pass); ?>用户名及密码都是敏感数据，是需要特别注意的。他们被写在源码中造成了风险，但这是一个无法避免的问... 继续阅读 >

2016
03-12

PHP安全-HTTP请求欺骗

 HTTP请求欺骗 一个比欺骗表单更高级和复杂的攻击方式是HTTP请求欺骗。这给了攻击者完全的控制权与灵活性，它进一步证明了不能盲目信任用户提交的任何数据。  为了演示这是如何进行的，请看下面位于http://example.org/form.php的表单：CODE:  <formaction="process.php"method="POST"> <p>Pleaseselectacolor: <selectname="color">  <optionvalue="r... 继续阅读 >

2016
03-12

PHP安全-欺骗表单提交

欺骗表单提交 制造一个欺骗表单几乎与假造一个URL一样简单。毕竟，表单的提交只是浏览器发出的一个HTTP请求而已。请求的部分格式取决于表单，某些请求中的数据来自于用户。 大多数表单用一个相对URL地址来指定action属性： <formaction="process.php"method="POST">  当表单提交时，浏览器会请求action中指定的URL，同时它使用当前的URL地址来定位相对URL。例如，如果之前的表单是对http://e... 继续阅读 >

2016
03-12

PHP安全-跨站请求伪造

跨站请求伪造 跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋，所有的伪造请求都由他发起，而不是攻击者。这样，很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上，如果没有对跨站请求伪造攻击进行特意防范的话，你的应用很有可能是有漏洞的。  请看下面一个简单的应用，它允许用户购买钢笔或铅笔。界面上包含下面的表单：CODE:&... 继续阅读 >

2016
03-12

PHP安全-跨站脚本攻击

 跨站脚本攻击 跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰，PHP应用也不例外。 所有有输入的应用都面临着风险。Webmail，论坛，留言本，甚至是Blog。事实上，大多数Web应用提供输入是出于更吸引人气的目的，但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义，跨站脚本漏洞就产生了。 以一个允许在每个页面上录入评论的应用为例，它使用了下面的表单帮... 继续阅读 >

2016
03-12

PHP安全-文件上传攻击

文件上传攻击 有时在除了标准的表单数据外，你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同，你必须指定一个特别的编码方式multipart/form-data：CODE: <formaction="upload.php"method="POST"enctype="multipart/form-data">一个同时有普通表单数据和文件的表单是一个特殊的格式，而指定编码方式可以使浏览器能按该可格式的要求去处理。 允许用户进行选择文件并上传的表单... 继续阅读 >

2016
03-12

PHP安全-语义URL攻击

 语义URL攻击   好奇心是很多攻击者的主要动机，语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如，如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris,很自然地他可能会试图改变user的值，看看会发生什么。例如，他可能访问http://example.org/private.php?user=rasmus来看一下他是否能看到其他人的信息。虽然... 继续阅读 >

2016
03-12

PHP安全-表单与数据

表单与数据    在典型的PHP应用开发中，大多数的逻辑涉及数据处理任务，例如确认用户是否成功登录，在购物车中加入商品及处理信用卡交易。    数据可能有无数的来源，做为一个有安全意识的开发者，你需要简单可靠地区分两类数据： l    已过滤数据l    被污染数据     所有你自己设定的... 继续阅读 >

2016
03-11

PHP安全-输出转义

输出转义    另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码，以保证原意不变。例如，O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分，而不是并不是它的本义。    我所指的输出转义具体分为三步：l    识别输出l    输出转义l   &n... 继续阅读 >

2016
03-11

PHP安全-过滤输入

过滤输入    过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤，你可以避免被污染（未过滤）数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。     我所指的过滤输入是指三个不同的步骤： l    识别输入l    过... 继续阅读 >

2016
03-11

PHP安全-跟踪数据

跟踪数据   作为一个有安全意识的开发者，最重要的一件事就是随时跟踪数据。不只是要知道它是什么和它在哪里，还要知道它从哪里来，要到哪里去。有时候要做到这些是困难的，特别是当你对WEB的运做原理没有深入理解时。这也就是为什么尽管有些开发者在其它开发环境中很有经验，但他对WEB不是很有经验时，经常会犯错并制造安全漏洞。   大多数人在读取EMAIL时，一般不会被题为"Re:H... 继续阅读 >

2016
03-11

PHP安全-平衡风险与可用性

平衡风险与可用性   用户操作的友好性与安全措施是一对矛盾，在提高安全性的同时，通常会降低可用性。在你为不合逻辑的使用者写代码时，必须要考虑到符合逻辑的正常使用者。要达到适当的平衡的确很难，但是你必须去做好它，没有人能替代你，因为这是你的软件。   尽量使安全措施对用户透明，使他们感受不到它的存在。如果实在不可能，就尽量采用用户比较常见和熟悉的方式来进行。例如，在... 继续阅读 >

2016
03-11

PHP安全-暴露最小化

暴露最小化   PHP应用程序需要在PHP与外部数据源间进行频繁通信。主要的外部数据源是客户端浏览器和数据库。如果你正确的跟踪数据，你可以确定哪些数据被暴露了。Internet是最主要的暴露源，这是因为它是一个非常公共的网络，您必须时刻小心防止数据被暴露在Internet上。   数据暴露不一定就意味着安全风险。可是数据暴露必须尽量最小化。例如，一个用户进入支付系统，在向你的服务器传输... 继续阅读 >

2016
03-11

PHP安全-简单就是美

 简单就是美    复杂滋生错误，错误能导致安全漏洞。这个简单的事实说明了为什么简单对于一个安全的应用来说是多么重要。没有必要的复杂与没有必要的风险一样糟糕。 例如，下面的代码摘自一个最近的安全漏洞通告： CODE:  <?php  $search=(isset($_GET['search'])?$_GET['search']:''); ?> ... 继续阅读 >

2016
03-11

PHP安全-最小权限

最小权限    我过去有一辆汽车有一个佣人钥匙。这个钥匙只能用来点火，所以它不能打开车门、控制台、后备箱，它只能用来启动汽车。我可以把它给泊车员（或把它留在点火器上），我确认这个钥匙不能用于其它目的。    把一个不能打开控制台或后备箱的钥匙给泊车员是有道理的，毕竟，你可能想在这些地方保存贵重物品。但我觉得没有道理的是为什么它不能开车门。当然，这是因为我... 继续阅读 >

2016
03-11

PHP安全-深度防范

深度防范    深度防范原则是安全专业人员人人皆知的原则，它说明了冗余安全措施的价值，这是被历史所证明的。    深度防范原则可以延伸到其它领域，不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。    回到编程领... 继续阅读 >

2016
03-11

PHP安全-错误报告

错误报告没有不会犯错的开发者，PHP的错误报告功能将协助您确认和定位这些错误。可以PHP提供的这些详细描述也可能被恶意攻击者看到，这就不妙了。使大众看不到报错信息，这一点很重要。做到这一点很容易，只要关闭display_errors，当然如果您希望得到出错信息，可以打开log_errors选项，并在error_log选项中设置出错日志文件的保存路径。    由于出错报告的级别设定可以导致有些错误无法发现，您至少... 继续阅读 >

2016
03-11

PHP安全-全局变量与注册

1.全局变量注册如果您还能记起早期WEB应用开发中使用C开发CGI程序的话，一定会对繁琐的表单处理深有体会。当PHP的register_globals配置选项打开时，复杂的原始表单处理不复存在，公用变量会自动建立。它让PHP编程变得容易和方便，但同时也带来了安全隐患。事实上，register_globals是无辜的，它并不会产生漏洞，同时还要开发者犯错才行。可是，有两个主要原因导致了您必须在开发和布署应用时关闭register_globals：第一，... 继续阅读 >

2016
03-10

我的PHP退役了

对于我的个人业余项目和未来的编程创收活动，PHP作为我的一种编程语言的选择，已经从此退役了。作出这个决定并不容易，但是对于我热爱的编程事业的延续，这是必要的。你知道，我可不是仅仅因为热爱编程才做程序员，因为我不会干其它的。历史一切都开始于1999年，我8年级。互联网真正开始显示出魅力，我想编程。学习了基本的HTML，我可以做出网页，但我想让这些网页有更多的交互功能。Perl成为了选择，嵌入Apache里作为CGI。Per... 继续阅读 >

2016
02-14

PHP执行linux命令的6个函数 HOT

一般情况下，很少会用php去执行linux命令，不过特殊情况下，你也许会用到这些函数。以前我知道有二个函数可以执行linux命令，一个是exec,一个是shell_exec。其实有很多的，结合手册内容，介绍以下6个函数。1，exec函数&lt;?php$test="ls/tmp/test";//ls是linux下的查目录，文件的命令exec($test,$array);//执行命令print_r($array);?&gt;返回结果如下：[root@krlcgcms01shell]#php./exec.phpArray(... 继续阅读 >

2016
01-27

Yii2.0入口文件详解

我们先来看一下Yii2的入口文件。在配置Yii2的nginx的配置时，有这样几句#server_namemysite.local;root/path/to/basic/web;......location/{#Redirecteverythingthatisn'tarealfiletoindex.phptry_files$uri$uri//index.php?$args;}可以看到web的入口文件是web文件夹下的index.php文件。index.php文件的内容如下：<?php//commentoutthefollowingtwol... 继续阅读 >

2016
01-27

Yii2.0使用Redis使用技巧缓存 推荐

前些天简单学习了下Redis，现在准备在项目上使用它了。我们目前用的是Yii2框架，在官网搜索了下Redis，就发现了yii2-redis这扩展。安装后使用超简单，打开common/config/main.php文件，修改如下。'cache'=>[//'class'=>'yii\caching\FileCache','class'=>'yii\redis\Cache',],'redis'=>['class'=>'yii\redis\Connection','hostname'=>'localhost','port'=>6379,'database'=>0,],... 继续阅读 >

2016
01-27

Yii2.0开发初学者必看 HOT

基础总结1.修改默认控制器/方法yii默认是site控制器，可以在web.php中设置$config中的'defaultRoute'='xxxx';使用自定义默认的控制器。也可以改写Yii::$app->defaultRoute属性。yii的默认方法是index，可以在vender/yiisoft/yii2/base/Controller.php中进行初始设置，也可以在控制器中改写defaltAction='action'。2.添加独立模块yii可以在modules文件夹中添加自定义模块，添加完成后在web.php中的$config中的'modules'=[id=... 继续阅读 >

2016
01-27

Yii2.0自定义日志文件写日志 推荐

头部引入log类useyii\log\FileTarget;$time=microtime(true);$log=newFileTarget();$log->logFile=Yii::$app->getRuntimePath().'/logs/zhidemy.com.log';//文件名自定义$log->messages[]=['test',1,'application',$time];$log->export();这样基本就能写出来了，先看一下$log->message的类描述信息/**[0]=>message(mixed,canbeastringorsomecomplexdata,suchasanexceptionobject)*[1]=>level(... 继续阅读 >