PHP 教學

//********************************************************//-- 程式名稱：StrSwap V1.0//-- 程式用途：Get或Post提交值的非法資料處理//-- 備忘： 本程式需要載入在所有程式處理前使用，以便自動進行//-- 程式中使用的變數的替換//********************************************************class

PHP中遍曆目錄的簡單的方法PHP中有許多的函數，我們很少聽說，但是卻有很實用的功能，例如：glob()。許多人希望簡單的遍曆目錄，如果知道了這個函數，必將事半功倍。 Glob從PHP4就被包含在核心中了，不是一個新的函數，但就像checkdnsrr()一樣，很少有人知道這個函數。下面我們就看看這個如何使用這個函數遍曆一個目錄。代碼foreach(glob('dir/*.php') as $filename){ echo 'Filename: ' . $filename .

PHPLIB還可以做很多別的事情，例如資料庫類。本篇文章只是對PHPLIB的簡單介紹。有很多類和功能都沒有提到。你可以到http://phplib.netuse.de去擷取更多的協助文檔測試環境:標準環境　　首先要說明一個事實，用Web頁面設計需要儲存客戶目前狀態的程式時極為不便，例如線上Shopping，作為一名程式員，你必須時時面對在各個首頁之間傳遞的狀態參數。客戶的身份認證、他已做出的選擇、他當前的狀態等等，Web首頁並不會替你儲存這些狀態資訊，你必須自己小心處理這些參數，這給我們帶來了太

網友“小好”給我了一個聊天室ip，讓我去看看。原本想入侵它的伺服器，大概技術沒到家，搞了十幾分鐘，也沒有進去。於是，我就想找找這個聊天室有什麼BUG。聊天室看得出是用PHP+MySQL組建的。欄目有：使用者註冊、 忘記密碼、 修改資料、 使用者自殺、 聊 神 榜、 聊天說明、 重新整理列表

PHP頁面中假如不希望出現以下情況:單引號被轉義為 '雙引號被轉義為 "那麼可以進行如下設定以防止:方法一:在php.ini中設定:magic_quotes_gpc = Off方法二: $str=stripcslashes($str)http://www.bkjia.com/PHPjc/629793.htmlwww.bkjia.comtruehttp://www.bkjia.com/PHPjc/629793.htmlTechArticlePHP頁面中假如不希望出現以下情況: 單引號被轉義為 '

function make_password(){$pw_length=24;//密碼長度$low_ascii_bound=50;$upper_ascii_bound=122;$notuse=array(58,59,60,61,62,63,64,73,79,91,92,93,94,95,96,108,111);while($i{mt_srand((double)microtime()*1000000);$randnum=mt_rand($low_ascii_bound,$upper_ascii_

phpMyAdmin ( http://www.phpwizard.net/projects/phpMyAdmin/ ) 是一款管理 MySQL 資料庫的 PHP 工具，具有基於 WEB 的介面。但是發現它存在漏洞。可選擇安裝新發布穩定版本： phpMyAdmin 2.2.0。1、目錄遍曆漏洞 攻擊者通過提供如下的 URL: http://www.example.com/phpMyAdmin/sql.php?goto=/etc/passwd&btnDrop=No (*)

如何通過Session檔案進行攻擊？ 　　PHP 4或更新的版本提供了對sessions的支援，它的主要作用是在PHP程式中儲存頁與頁之間的狀態資訊。例如，當一個使用者登陸進入網站，他登陸了的這個事實以及誰登陸進入這個網站的相關資訊都將被儲存在session中，當他在網站中到處瀏覽時，所有的PHP代碼都可以獲得這些狀態資訊。 　　事實上，當一個session啟動時（實際上是在設定檔中設定為在第一次請求時自動啟動），就會產生一個隨機的"session

對於指令碼安全這個話題似乎永遠沒完沒了，假如你經常到國外的各種各樣的bugtraq上，你會發現有一半以上都和指令碼相關,諸如SQL injection,XSS,Path Disclosure,Remote commands execution這樣的字眼比比皆是，我們看了之後的用途難道僅僅是抓肉雞？對於我們想做web安全的人來說，最好就是拿來學習，可是萬物抓根源，我們要的不是魚而是漁。在國內，各種各樣的php程式1.0版,2.0版像雨後春筍一樣的冒出來，可是，大家關注的都是一些聞名的cms,論壇,

Cutenews是一款功能強大的新聞管理系統，使用平坦式檔案儲存體。Cutenews在處理使用者提交的請求參數時存在漏洞，遠程攻擊者可能利用此漏洞在主機上執行任意命令。在管理帳號編輯模板檔案的時候，CuteNews不能正確的過濾使用者輸入。CuteNews從Web表單中擷取HTML代碼並將其輸出到名為.tpl的模板檔案中。該模板檔案包含有類似以下的PHP代碼：--snip--$template_active = [HTML template code]HTML;$template_full =

PHP程式的常見漏洞攻擊分析綜述：PHP程式也不是固若金湯，隨著PHP的廣泛運用，一些駭客們也在無時不想找PHP的麻煩，通過PHP程式漏洞進行攻擊就是其中一種。在節，我們將從全域變數，遠程檔案，檔案上傳，庫檔案，Session檔案，資料類型和容易出錯的函數這幾個方面分析了PHP的安全性。 　　如何通過全域變數進行攻擊？

在使用PHP編程的時候，我有一個習慣，不太喜歡使用現成的庫檔案，例如PHPLib或者其它類似的庫，在這個系統中，我也打算自己寫一個庫檔案，它需要處理認證、確認email，更新帳號（密碼，email）等事情。為了在保證該系統安全的同時，不會加重我現有資料庫的負擔。因此這個新的系統要依靠cookies。這確實是一個兩難的選擇，因為假如只是設定一個使用者名稱的cookie，是很不安全的，這行不通，但從資料庫的負擔考慮，我也不能加入一個簡單的無序碼而交由我的資料庫來進行驗證。　　解決的方法是同時設定兩個

涉及程式： phpMyAdmin 描述： phpMyAdmin遠程PHP代碼注入漏洞 詳細：

php防注入式攻擊心得 一:這個話題太老生常談了.在PHP.INI中將magic_quotes_gpc = On確實能防得住一些注入式攻擊,但這是不是萬能的?我們現在是將POST或者GET收到的變數,將其中的空格轉換掉,標點符號,特殊字元全部轉換為HTML編碼.示範的時候再將他還原.請問大家是如何做的?交流一下代碼啊.不過還是沒有用的.防不了union語句,當你的SQL寫得不規範的時候.比如select * from news where

以下 $username, $password 分別指使用者名稱和密碼，$sitekey 為網站擾碼。　　密碼設定　　提交的時候，使用 javascript 處理t_code0.value = md5 (username.value "|" passwd.value);passwd.value = '';　　假如提交的 passwd 有值或 t_code0 為空白，設定密碼失敗；　　t_code0 的值儲存到資料庫的 save_pwd 欄位中；　　密碼校正　　1.

本文作者：kEvin1986文章性質：原創發布日期：2005-08-14 　　‘codz by kEvin1986　　User=Request.Form("User")　　Pass=Request.Form("Pass")　　Popserver=Request.Form("Popserver")　　if User<>"" and Pass<>"" and Popserver<>"" then　　　　Set objmail = CreateObject( "JMail.POP3" )　

if($_SERVER['HTTP_X_FORWARDED_FOR']){ $onlineip=$_SERVER['HTTP_X_FORWARDED_FOR'];}elseif($_SERVER['HTTP_CLIENT_IP']){ $onlineip=$_SERVER['HTTP_CLIENT_IP'];}else{ $onlineip=$_SERVER['REMOTE_ADDR'];}$onlineip

1.中轉程式include.incinclude_once 'include/Base.php';$path = '';$url = isBase::decrypt(urlDecode($_SERVER['QUERY_STRING']));parse_str($url); //擷取通過url地址GET傳遞過來的變數if(!empty($_POST['path'])){ //擷取POST傳遞過來的變數$path = $_POST['path'];$path =

本文作者：SuperHei文章性質：原創發布日期：2005-08-14程式描敘　　OKPHP是由www.okphp.com開發一套專業的網站管理系統，目前產品包括：Okphp CMS， Okphp BBS，Okphp BLOG。由於對變數的過濾不嚴密及密碼認證不嚴，導致sql注射，xss，隱藏變數post攻擊從跨許可權操作。漏洞攻擊1、SQl注射及xss　　“幾乎”

php效能效率最佳化最近在公司一邊自學一邊寫PHP程式，由於公司對程式的運行效率要求很高，而自己又是個新手，一開始就注意程式的效率很重要，這裡就結合網上的一些資料，總結下php程式效率最佳化的一些策略：1.在可以用file_get_contents替代file、fopen、feof、fgets等系列方法的情況下，盡量用file_get_contents，因為他的效率高得多！但是要注意file_get_contents在開啟一個URL檔案時候的PHP版本問題2.盡量的少進行檔案操作，雖然PHP的檔