PHP

PHP程式員最易犯10種錯誤(轉)PHP是個偉大的web開發語言，靈活的語言，但是看到php程式員周而復始的犯的一些錯誤。我做了下面這個列表，列出了PHP程式員經常犯的10中錯誤，大多數和安全相關。看看你犯了幾種1.不轉意html entities   一個基本的常識：所有不可信任的輸入（特別是使用者從form中提交的資料） ，輸出之前都要轉意。 echo $_GET['usename'] ; 這個例子有可能輸出： <script>/

<?php/*************************說明：判斷傳遞的變數中是否含有非法字元如$_POST、$_GET功能：防注入**************************///要過濾的非法字元$ArrFiltrate=array("''''",";","union");//出錯後要跳轉的url,不填則預設前一頁$StrGoUrl="";//是否存在數組中的值function

* 字串檢查類 *@author  sanshi     QQ:35047205     Email:sanshi0815@tom.com     MSN:sanshi0815@tom.com*/class checkBase{ function

如何攻擊，在此不作說明（也不要問我），主要談談如何防範。首先，跨站指令碼攻擊都是由於對使用者的輸入沒有進行嚴格的過濾造成的，所以我們必須在所有資料進入我們的網站和資料庫之前把可能的危險攔截。針對非法的HTML程式碼封裝括單雙引號等，可以使用htmlentities() 。<?php$str = "A ''''quote'''' is <b>bold</b>";// Outputs: A ''''quote'''' is

 代碼如下複製代碼 <?php/*** @name date safe class 0.1* @author kevin xu* @copyright kenvin E-mail:gincn@cn.cashboxparty.com MSN:gincn@live.cn*/interface dateSafe{ function gincn();}class safe extends doSafe implements dateSafe { public $

 CodeIgniter 是一套給 PHP 網站開發人員使用的應用程式開發架構和工具包。她提供一套豐富的標準庫以及簡單的介面和邏輯結構，其目的是使開發人員更快速地進行項目開發。使用 CodeIgniter 可以減少代碼的編寫量，並將你的精力投入到項目的創造性開發上。她是一個小巧但功能強大的 PHP 架構，作為一個簡單而“優雅”的工具包，她可以為 PHP 程式員建立功能完善的 Web

來自ESET的訊息，新的專門感染PHP和Html檔案的病毒及其變種於近期被發現，希望各位PHPer引起注意，及時升級您的殺毒軟體。 名稱：PHP.Alf病毒類型：蠕蟲感染長度：846位元組危害層級：中傳播速度：中技術特徵：這是一個非常簡單的病毒，專門感染尾碼為.php、.htm及html的檔案。病毒運行後，首先將自己改名為Script.php，為完成這一功能，它通過如下步驟進行：1、將自己更名為Dir.php；2、建立C:\Php（若本地機器不存在此目錄的話）；3、將自己移動到C:\P

我們構建注入語句吧 在輸入框輸入 a% and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from alphaauthor#放到sql語句中成了select * from alphadb where title like %a% and 1=2 union select 1,username,3,4,5,6,7,8, password,10,11 from alphaauthor# %怎麼樣，出來了吧，哈哈，一切盡在掌握之中。

本文主要是為小菜們服務的，如果你已經是一隻老鳥呢，可能某些東西會感覺比較乏味，但只要你仔細的看，你會發現很多有趣的東西哦。閱讀此文你只要明白下面的這點東西就夠了。1.明白php+mysql環境是如何搭建的。2.大概瞭解php和apache的配置，主要用到php.ini和httpd.conf 而此文我們主要用到的是php.ini的配置。為了安全起見我們一般都開啟php.ini裡的安全模式，即讓safe_mode = On，還有一個就是返回php執行錯誤的display_errors

前面象Shaun

濫用include　　1.漏洞原因：　　Include是編寫PHP網站中最常用的函數，並且支援相對路徑。有很多PHP指令碼直接把某輸入變數作為Include的參數，造成任意引用指令碼、絕對路徑泄露等漏洞。看以下代碼：...$includepage=$_GET["includepage"];include($includepage);...　　很明顯，我們只需要提交不同的Includepage變數就可以獲得想要的頁面。假如提交一個不存在的頁面，就可以使PHP指令碼發生錯誤而泄露

對於指令碼安全這個話題似乎永遠沒完沒了，假如你經常到國外的各種各樣的bugtraq上，你會發現有一半以上都和指令碼相關,諸如SQL injection,XSS,Path Disclosure,Remote commands execution這樣的字眼比比皆是，我們看了之後的用途難道僅僅是抓肉雞？對於我們想做web安全的人來說，最好就是拿來學習，可是萬物抓根源，我們要的不是魚而是漁。在國內，各種各樣的php程式1.0版,2.0版像雨後春筍一樣的冒出來，可是，大家關注的都是一些聞名的cms,論壇,

SQL注入攻擊是駭客攻擊網站最常用的手段。假如你的網站沒有使用嚴格的使用者輸入檢驗，那麼常輕易遭到SQL注入攻擊。SQL注入攻擊通常通過給網站資料庫提交不良的資料或查詢語句來實現，很可能使資料庫中的紀錄遭到暴露，更改或被刪除。下面來談談SQL注入攻擊是如何?的，又如何防範。　　看這個例子：// supposed input$name = "ilia'; DELETE FROM users;";mysql_query("SELECT * FROM users

<?php/**lock_thisfile：獲得獨享鎖*@param $tmpFileStr 用來作為共用鎖定檔案的檔案名稱（可以隨便起一個名字）*@param $locktype 鎖類型，預設為false(非阻塞型，也就是一旦加鎖失敗則直接返回false),設定為true則會一直等待加鎖成功才返回*@return 假如加鎖成功，則返回鎖執行個體(當使用unlock_thisfile方法的時候需要這個參數)，加鎖失敗則返回false.*/function

　假如你希望在每個指令碼的基礎上實現口令保護功能，那麼你可以通過結合header()函數和$PHP_AUTH_USER、$PHP_AUTH_PW全域變數的方法來建立一個基本認證機制。通常基於伺服器的認證請求/響應過程如下：　　1.

產生隨機字串，可用來自動產生密碼。特點：1. 可以指定密碼包含數字或字元，預設為混和模式2. 指定隨意密碼長度，預設長度為6位代碼如下：#-------------------------------------------# 產生隨機字串，可用來自動產生密碼# 預設長度6位 字母和數字混合# $format ALL NUMBER CHAR 字串組成格式#-------------------------------------------function

1、防止跳出web目錄首先修改httpd.conf，假如你只答應你的php指令碼程式在web目錄裡操作，還可以修改httpd.conf檔案限制php的操作路徑。比如你的web目錄是/usr/local/apache/htdocs，那麼在httpd.conf裡加上這麼幾行：php_admin_value open_basedir

資料庫是用UTF-8的話，你那個文本是使用什麼編碼呀？用mb_convert_encoding或iconv來轉換一下編碼。兩個編碼要一致才不會出現亂碼的。還有就是資料庫連接方面，如果你有加了set names應該是全部的串連都要那樣去加，要不然，會顯示亂碼的。下在的例題如果不進行編碼轉換就會有問題.       $fileName = "qtgz/qtgongzi.txt";   

php上傳圖片失敗原圖一般的檔案上傳,除非檔案很小.就像一個5M的檔案,很可能要超過一分鐘才能上傳完.但在php中,預設的該頁最久執行時間為 30 秒.就是說超過30秒,該指令碼就停止執行.這就導致出現 無法開啟網頁的情況.這時我們可以修改 max_execution_time在php.ini裡尋找 max_execution_time預設是30秒.改為max_execution_time = 0

php curl_init函數用法首先，在C\windows裡的php.ini中我開啟了extension=php_curl.dll的功能，然後也重啟了apapche，以下是我寫的抓取百度中PHP的資訊：<?php  //初始化curl  $ch = curl_init() or die (curl_error());  echo "測試一下";  //設定URL參數