PHP

如果沒有在代碼字串中調用 return 語句，則返回 NULL。如果代碼中存在解析錯誤，則 eval() 函數返回 false。文法eval(phpcode)phpcode 必需是規定要計算的 PHP 代碼。例子  代碼如下複製代碼 <?php$string = '杯子';$name = '咖啡';$str = '這個 $string 中裝有 $name.<br>';echo $str;eval( "$str = "$str";&

最常用見的可能就是首先將magic_quotes_gpc設定為On，display_errors設定為Off，如果id型，我們利用intval()將其轉換成整數類型，如代碼：$id=intval($id);好了下面我來介紹php提交資料過濾的基本原則 1）提交變數進資料庫時，我們必須使用addslashes()進行過濾，像我們的注入問題，一個addslashes()也就搞定了。其實在涉及到變數取值時，intval()函數對字串的過濾也是個不錯的選擇。2）在php.ini中開啟magic

SQL注入工作原理構造一個資料庫查詢是一個非常直接的過程。典型地，它會遵循如下思路來實現。僅為說明問題，我們將假定你有一個葡萄酒資料庫表格”wines”，其中有一個欄位為”variety”（即葡萄酒類型）：1. 提供一個表單-允許使用者提交某些要搜尋的內容。讓我們假定使用者選擇搜尋類型為”lagrein”的葡萄酒。2. 檢索該使用者的搜尋術語，並且儲存它-通過把它賦給一個如下所示的變數來實現：

開啟PHP安全模式（請注意，PHP5.3將不再有安全模式）開啟或者關閉php的安全模式是利用php.ini中的safe_mode選項：  代碼如下複製代碼 safe_mode=On(使用安全模式)safe_mode=Off(關閉安全模式)在apache的httpd.conf中VirtualHost的相應設定方法php_admin_flag safe_mode On(使用安全模式)php_admin_flag safe_mode

1、php提交資料過濾的基本原則 1）提交變數進資料庫時，我們必須使用addslashes()進行過濾，像我們的注入問題，一個addslashes()也就搞定了。其實在涉及到變數取值時，intval()函數對字串的過濾也是個不錯的選擇。2）在php.ini中開啟magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie裡的引號變為斜杠。magic_quotes_runtime對於進出資料庫的資料可以起

先看strpos函數strpos() 函數返回字串在另一個字串中第一次出現的位置。如果沒有找到該字串，則返回 false。文法strpos(string,find,start)參數 描述 string 必需。規定被搜尋的字串。 find 必需。規定要尋找的字元。 start 可選。規定開始搜尋的位置。提示和注釋注釋：該函數對大小寫敏感。如需進行對大小寫不敏感的搜尋，請使用 stripos() 函數。例子  代碼如下複製代碼 <?phpecho

 代碼如下複製代碼 /用Regex（把髒話想替換成什麼就替換成什麼）   $str = "aa=!!|bb=@@|cc=##|dd=$$|ee=%%|ff=^^|gg=&amp;&amp;";    $arr = explode('|',$str);    foreach($arr as $key=&gt;$val)    {&

定義和用法eval() 函數把字串按照 PHP 代碼來計算。該字串必須是合法的 PHP 代碼，且必須以分號結尾。如果沒有在代碼字串中調用 return 語句，則返回 NULL。如果代碼中存在解析錯誤，則 eval() 函數返回 false。文法?eval(phpcode) 　　參數 描述 phpcode 必需。規定要計算的 PHP 代碼。 提示和注釋注釋：返回語句會立即終止對字串的計算。注釋：該函數對於在資料庫文字欄位中供日後計算而進行的代碼儲存很有用。例子?

 代碼如下複製代碼 var_export($times,true);後面不加true不能寫入檔案喲$fp = fopen('aa.txt','w+');fwrite($fp,var_export($times,true));fclose($fp); 方法二利用serializ與unserialize函數  代碼如下複製代碼 if(isset($_POST['sub'])){     $cfg = array('

1，登入進VPS控制台，準備好隨時重啟VPS。2，關閉Web Server先，過高的負載會導致後面的操作很難進行，甚至直接無法登入SSH。3，以防萬一，把設定的Web Server系統啟動後自動運行去掉。（如果已經無法登入進系統，並且重啟後負載過高導致剛剛開機就已經無法登入，可聯絡管理員在母機上封掉VPS的IP或80連接埠，在母機上用虛擬控制台登入進系統，然後進行2&3的操作，之後解鎖）二，找出攻擊者IP1，在網站根目錄建立檔案ip.php，寫入下面的內容。

基本的檔案包含漏洞:  代碼如下複製代碼 <?php include(“includes/” . $_GET['file']); ?>* 包含同路徑下的檔案：?file=.htaccess* 路徑遍曆：?file=../../../../../../../../../var/lib/locate.db(該檔案非常有趣因為它允許你搜尋檔案系統)*

何為注入？比如我們在查詢資料庫的時候，我們通過文章的id號來取出這篇文章的所有資訊。那麼SQL語句可以這樣寫：  代碼如下複製代碼 select * from blog where id=5  id的值通過使用者的操作來傳遞，一般是GET方式，形如read.php?id=5。這樣看起來是沒有任何問題，但是如果我們稍微改下SQL語句：  代碼如下複製代碼

那麼我們如果在我們提交的資料中進行過濾是不是能夠避免這些問題呢？於是我們使用正則就構建如下函數：  代碼如下複製代碼 /*函數名稱：inject_check()函數作用：檢測提交的值是不是含有SQL注射的字元，防止注射，保護伺服器安全參 數：$sql_str: 提交的變數返 回 值：返回檢測結果，ture or

為了安全，我們常用到下面的函數來過濾一些傳遞過來的非法字元：PHP防注入函數  代碼如下複製代碼

具體  代碼如下複製代碼 $width=145; $height = 45;          $authcode = vcaptcha_read_code('words.txt') ;          $bg = 'bg/captcha_bg3.jpg';      

當安全模式開啟的時候，以下函數列表的功能將會受到限制：chdir , move_uploaded_file,  chgrp,  parse_ini_file,  chown,  rmdir,  copy,  rename,  fopen,  require,  highlight_file,  show_source,  include,  symlink, 

1.將safe.func.php傳到要包含的檔案的目錄2.在頁面中加入防護，有兩種做法，根據情況二選一即可：a).在所需要防護的頁面加入代碼require_once('safe.func.php');就可以做到頁面防注入、跨站如果想整站防注，就在網站的一個公用檔案中，如資料庫連結檔案config.inc.php中！添加require_once('safe.func.php');來調用本代碼safe.func.php 代碼如下：  代碼如下複製代碼

具體用法addslashes防止SQL注入雖然國內很多PHP程式員仍在依靠addslashes防止SQL注入，還是建議大家加強中文防止SQL注入的檢查。addslashes的問題在 於駭客 可以用0xbf27來代替單引號，而addslashes只是將0xbf27修改為0xbf5c27，成為一個有效多位元組字元，其中的0xbf5c仍會

PHP and AJAX XML教程在HTML表單上面的例子中包含一個簡單的HTML表格，並連結到一個JavaScript ：<html><head><script src="selectcd.js"></script></head><body><form> Select a CD:<select name="cds"

<html><head><title>Ajax講解 - www.111cn.net - </title><script type="text/javascript">function createXmlHttp(){    if(window.ActiveXObject){  xmlHttp=new