PHP 教學

語義URL攻擊

檔案上傳攻擊 有時在除了標準的表單資料外，你還需要讓使用者進行檔案上傳。由於檔案在表單中傳送時與其它的表單資料不同，你必須指定一個特別的編碼方式multipart/form-data：CODE: <form action="upload.php"

跨站指令碼攻擊 跨站指令碼攻擊是眾所周知的攻擊方式之一。所有平台上的Web應用都深受其擾，PHP應用也不例外。 所有有輸入的應用都面臨著風險。Webmail，論壇，留言本，甚至是Blog。事實上，大多數Web應用提供輸入是出於更吸引人氣的目的，但同時這也會把自己置於危險之中。如果輸入沒有正確地進行過濾和轉義，跨站指令碼漏洞就產生了。 以一個允許在每個頁面上錄入評論的應用為例，它使用了下面的表單協助使用者進行提交：CODE: <form action="comment.php&

跨站請求偽造 跨站請求偽造(CSRF)是一種允許攻擊者通過受害者發送任意HTTP請求的一類攻擊方法。此處所指的受害者是一個不知情的同謀，所有的偽造請求都由他發起，而不是攻擊者。這樣，很你就很難確定哪些請求是屬於跨站請求偽造攻擊。事實上，如果沒有對跨站請求偽造攻擊進行特意防範的話，你的應用很有可能是有漏洞的。 請看下面一個簡單的應用，它允許使用者購買鋼筆或鉛筆。介面上包含下面的表單：CODE: <form action="buy.php"

欺騙表單提交 製造一個欺騙表單幾乎與假造一個URL一樣簡單。畢竟，表單的提交只是瀏覽器發出的一個HTTP請求而已。請求的部分格式取決於表單，某些請求中的資料來自於使用者。 大多數表單用一個相對URL地址來指定action屬性： <form action="process.php"method="POST"> 當表單提交時，瀏覽器會請求action中指定的URL，同時它使用當前的URL地址來定位相對URL。例如，如果之前的表單是對http:

HTTP請求欺騙 一個比欺騙表單更進階和複雜的攻擊方式是HTTP請求欺騙。這給了攻擊者完全的控制權與靈活性，它進一步證明了不能盲目信任使用者提交的任何資料。 為了示範這是如何進行的，請看下面位於http://www.php.cn/的表單：CODE: <form action="process.php"method="POST"> <p>Please select a color: <select name="

存取權限暴露 資料庫使用中需要關注的主要問題之一是存取權限即使用者名稱及密碼的暴露。在編程中為了方便，一般都會用一個db.inc檔案儲存，如：CODE: <?php $db_user = 'myuser';$db_pass = 'mypass';$db_host = '127.0.0.1'; $db = mysql_connect($db_host, $db_user,$db_pass);

SQL 注入 SQL注入是PHP應用中最常見的漏洞之一。事實上令人驚奇的是，開發人員要同時犯兩個錯誤才會引發一個SQL注入漏洞，一個是沒有對輸入的資料進行過濾（過濾輸入），還有一個是沒有對發送到資料庫的資料進行轉義（轉義輸出）。這兩個重要的步驟缺一不可，需要同時加以特別關注以減少程式錯誤。 對於攻擊者來說，進行SQL注入攻擊需要思考和實驗，對資料庫方案進行有根有據的推理非常有必要（當然假設攻擊者看不到你的來源程式和資料庫方案），考慮以下簡單的登入表單：CODE: <form

這篇文章主要介紹了PHP進程通訊基礎知識中的訊號量與共用記憶體通訊的相關資料，有需要的小夥伴可以查看下由於進程之間誰先執行並不確定，這取決於核心的進程調度演算法，其中比較複雜。由此有可能多進程在相同的時間內同時訪問共用記憶體，從而造成不可預料的錯誤。訊號量這個名字起的令人莫名其妙，但是看其英文原意，就十分容易理解。 semaphore 英[ˈseməfɔ:(r)] vt. 發出訊號，打旗語; 類似於指揮官的作用。 下面我們看下一個虛擬碼訊號量的使用。1、建立訊號量唯一識別碼$ftok =

本篇文章主要介紹了PHP串連MySQL進行增、刪、改、查操作的方法，具有很好的參考價值，下面跟著小編一起來看下吧話不多說，請看代碼：<table width="100%" border="1" cellpadding="0"

使用 self:: 或者 __CLASS__ 對當前類的靜態引用，取決於定義當前方法所在的類：使用 static:: 不再被解析為定義當前方法所在的類，而是在實際運行時計算的。也可以稱之為“靜態繫結”，因為它可以用於（但不限於）靜態方法的調用。最近在一個視頻的評論被問到一個小問題：這裡選擇用static 而不是self有特殊的考慮嗎？或者我們可以這樣轉換一下問題：PHP 的 new static 和 new self 具體有什麼?其實這個來看一個例子應該就很清晰了：class Father {

PHP出現檔案鎖與mysql表鎖有大概想的用法，就是同一時間只能讓一個人操作，這樣就避免了同時有多個人操作同一檔案，這樣導致資料丟失的情況了，下面我來給大家介紹PHP檔案鎖用法。鎖機制之所以存在是因為並發導致的資源競爭，為了確保操作的有效性和完整性，可以通過鎖機制將並髮狀態轉換成串列狀態。作為鎖機制中的一種，PHP的檔案鎖也是為了應對資源競爭。假設一個應用情境，在存在較大並發的情況下，通過fwrite向檔案尾部多次有序的寫入資料，不加鎖的情況下會發生什嗎？多次有序的寫入操作相當於一個事務，我們此

最近在閱讀項目的源碼，發現源碼中就對empty、isset和is_null函數（語言特性）亂用，有的地方很明顯的就挖坑了。不能正確的去理解這些東西，就很可能給後續的開發挖坑了。1.empty用法bool empty ( mixed var)如果 var 是非空或非零的值，則 empty() 返回 FALSE。換句話說，""、0、"0"、NULL、FALSE、array()、var $var; 以及沒有任何屬性的對象都將被認為是空的，如果 var

本文執行個體講述了php使用json_decode後數字對象轉換成了科學計數法的解決方案。分享給大家供大家參考，具體如下：問題：今天在搞網頁遊戲在facebook積分上的對接，facebook傳過來一個類json字串，想在callball.php頁面當中應用這些參數，於是進行了一次json_decode操作，發現長長的數字都變成了科學計數法，這不是我想要的結果。解決方案：做了各方面的轉換處理都不好使：$obj='{"order_id":213477815351175,

本文執行個體講述了php擷取給定日期相差天數的方法。分享給大家供大家參考，具體如下：方法一：<?phpfunction count_days($a,$b){ $a_dt=getdate($a); $b_dt=getdate($b); $a_new=mktime(12,0,0,$a_dt['mon'],$a_dt['mday'],$a_dt['year']); $b_new=mktime(12,0,0,$b_dt['mon'],

本文講解了thinkphp架構下實現無限級分類的方法,無限級分類一般應用在網站的分類菜單中,是很常用的資料結構和功能,在thinkphp中實現這種方法也是很容易的一件事，接下來我們就來學習下如何來使用。無限分類原理是添加一個欄位（比如Sid）作區分，頂級分類Sid為0，二級分類Sid為上一級分類的ID，一次類推。輸出的時候一般使用遞迴即可。我們首先來建立一張資料表，表結構如下：控制器： CateAction.class.php<?php class CateAction extends

資料的暴露 關於資料庫，另外需要關心的一點是敏感性資料的暴露。不管你是否儲存了信用卡號，社會保險號，或其它資料，你還是希望確認資料庫是安全的。 雖然資料庫安全已經超出了本書所討論的範圍（也不是PHP開發人員要負責的），但是你可以加密最敏感的資料，這樣只要密鑰不泄露，資料庫的安全問題就不會造成災難性的後果。（關於加密的詳細介紹參見本書附錄C） 要看圖的話，請至技術文檔區下載原版chm 以上就是PHP安全-資料的暴露的內容，更多相關內容請關注topic.alibabacloud.com（www.

Cookie 盜竊 因使用Cookie而產生的一個風險是使用者的cookie會被攻擊者所盜竊。如果會話標識儲存在cookie中，cookie的暴露就是一個嚴重的風險，因為它能導致工作階段劫持。 圖4-2. PHP為你處理相關會話管理的複雜過程最常見的cookie暴露原因是瀏覽器漏洞和跨站指令碼攻擊（見第2章）。雖然現在並沒有已知的該類瀏覽器漏洞，但是以往出現過幾例，其中最有名的一例同時發生在IE瀏覽器的4.0，5.0，5.5及6.0版本（這些漏洞都有相應補丁提供）。

會話資料暴露 會話資料常會包含一些個人資訊和其它敏感性資料。基於這個原因，會話資料的暴露是被普遍關心的問題。一般來說，暴露的範圍不會很大，因為會話資料是儲存在伺服器環境中的，而不是在資料庫或檔案系統中。因此，會話資料自然不會公開暴露。 使用SSL是一種特別有效手段，它可以使資料在伺服器和用戶端之間傳送時暴露的可能性降到最低。這對於傳送敏感性資料的應用來說非常重要。SSL在HTTP之上提供了一個保護層，以使所有在HTTP請求和應答中的資料都得到了保護。

會話固定 關於會話，需要關注的主要問題是會話標識的保密性問題。如果它是保密的，就不會存在工作階段劫持的風險了。通過一個合法的會話標識，一個攻擊者可以非常成功地冒充成為你的某一個使用者。 一個攻擊者可以通過三種方法來取得合法的會話標識： l 猜測l 捕獲l 固定 PHP產生的是隨機性很強的會話標識，所以被猜測的風險是不存在的。常見的是通過捕獲網路通訊資料以得到會話標識。為了避免會話標識被捕獲的風險，可以使用SSL，同時還要對瀏覽器漏洞及時修補。