PHP

  很多Web應用被其糟糕的身分識別驗證與授權機制所困擾。本章主要討論相關這些機制的漏洞，傳授一些協助你不犯通病的方法。我將通過一些例子進一步說明這些方法，但請注意不要把這些樣本與其上下文割裂開來看，理解其中包含的原則和方法是很重要的。只有到那個時候你才能對它們進行正確運用。  通過驗證我們可以確定一個使用者的身份。典型的做法是簡單地使用使用者名稱和密碼進行檢查。這樣我們就能確定登入使用者是一個授權使用者。 

7.1. 暴力密碼破解攻擊  暴力密碼破解攻擊是一種不使用任何特殊手段而去窮盡各種可能性的攻擊方式。它的更正式的叫法是窮舉攻擊——窮舉各種可能性的攻擊。  對於存取控制，典型的暴力密碼破解攻擊表現為攻擊者通過大量的嘗試去試圖登入系統。在多數情況下，使用者名稱是已知的，而只需要猜測密碼。  儘管暴力密碼破解攻擊沒有技巧性可言，但詞典攻擊似乎有一定的技巧性。最大的區別是在進行猜測時的智能化。詞典攻擊只會最可能的情況列表中進行窮舉，而不像暴力密碼破解攻擊一樣去窮舉所有的可能情況。 

7.2. 密碼嗅探  儘管攻擊者通過嗅探（察看）你的使用者和應用間的網路通訊並不專門用於存取控制，但要意識到資料暴露變得越來越重要，特別是對於驗證資訊。 使用SSL可以有效地防止HTTP請求和回應不被暴露。對任何使用https方案的資源的請求可以防止密碼嗅探。最好的方法是一直使用SSL來發送驗證資訊，同時你可能還想用SSL來傳送所有的包含會話標識的請求以防止工作階段劫持。  為防止使用者驗證資訊不致暴露，在表單的action屬性的URL中使用https方案如下：CODE:   <form

PHP讀取、解析XML的方法. 來自：http://www.czbin.cn/Php.Xml.Read.5.php現在提供一種很簡便的方法用PHP讀取XML:XML檔案(cy.xml)如下：<?xml version="1.0" encoding="gb2312"?><xml><site><part id="1"><title id="a">czbin

1. 下載 lighttpd , pcre ， php , 其他相關擴充包2. 安裝 pcre    ./configure & make & make install    安裝 php     ./configure --prefix=/usr/local/php/ --with-mysql=/usr/local/mysql --with-gd=/usr/local/gd --with-libxml-dir --with-zlib=/usr/local/zlib

說在前面：１、以下題目，除了編程任務外其他都需要寫在給你提供的草紙上。紙張是珍貴的地球資源，請節約使用。編程任務在有相應的環境時，會要求上機書寫，實在沒有條件，就只能寫在草紙上了。２、時間：基礎任務＋進階任務＋設計任務 ＝ 90分鐘編程任務 ＝

隨著PHP項目的增大，軟體設計與組織在代碼的可維護性上起著越來越重要的作用。儘管對於什麼是最好的編程方式眾說紛紜（關於物件導向優點的爭論常常發生），但基本上每個開發人員會理解和欣賞模組化設計的價值。  本章說明了使用包含時會面臨的安全問題。指令碼中include或require的檔案把你的應用分成了邏輯上分離的兩部分。我還會著重強調和糾正一些常見的誤解，特別是有關於如何編程的問題。 小提示 

項目首頁：http://www.thyphp.com/friendly-url-is-it-really-needed.html：http://cesars.users.phpclasses.org/browse/package/4231.htmlURL Rewriter Cesar D. Rodas <cesar@sixdegrees.com>

7.3. 重播攻擊  重播攻擊，有時稱為示範攻擊，即攻擊者重現以前合法使用者向伺服器所發送的資料以擷取訪問權或其它分配給該使用者的許可權。  與密碼嗅探一樣，防止重播攻擊也需要你意識到資料的暴露。為防止重播攻擊，你需要加大攻擊者擷取任何用於取得受限資源的存取權限的資料的難度。這主要要求做到避免以下做法：  設定受保護資源永久訪問權的資料的使用；設定受保護資源訪問權的資料的暴露（甚至是只提供臨時訪問權的資料）； 

  本章主要討論伴隨著檔案與shell命令的使用所產生的風險。PHP有大量的檔案系統函數，與直接執行shell命令只有少量的區別。在本章中，我會著重強調開發人員在使用這些功能時常犯的錯誤。  總的來說，伴隨這些功能所產生的風險類似於很多本書已提及的風險——使用被汙染資料具有災難性的副作用。儘管漏洞是不同的，但是用來對付它們的方法都是你已學過的方法。6.1. 檔案系統跨越 

>./configure --prefix=/slview/php5 \--with-apxs2=/slview/apache/bin/apxs \--with-mysql=/slview/mysql \--with-oci8=/oracle/product/10.2.0 \--with-bz2 --enable-zip --enable-calendar \--enable-sqlite-utf8 --enable-mbstring --with-curl --with-snmp \--

-bash-3.1$ ./ext_skel --extname=wd_probeTo use your new extension, you will have to execute the following steps:1.  $ cd ..2.  $ vi ext/wd_probe/config.m43.  $ ./buildconf4.  $ ./configure --[with|enable]-wd_probe5.  $ make6.  $ ./php -f

PHP - 擷取訪客來路資訊(轉自php100) 不少網站訪問統計程式提供有來路資訊，客戶查閱統計資料時從中得知訪問者從什麼網站串連過來。所謂來路，其實就是別人從哪裡點擊了你網站的連結，即，從什麼頁面串連到你的網站。 在PHP中，擷取來路資訊是非常簡單的，我們只需用到referer。HTTP頭攜帶的資訊

刪掉.htaccess 即可訪問 您訪問的頁面無法顯示,網頁500錯誤,伺服器錯誤HTTP 錯誤500 - 內部伺服器錯誤。描述: 您要尋找的資源有問題，無法顯示。    以前也安裝過Discuz1.5沒有這種現象,真是奇怪了,於是查了眾多資料,找到了Discuz X2新版安裝首頁500錯誤的解決辦法就是 首頁的500錯誤不影響後來的登入 照著網上的教程修改了一下還真的可以了！！ 解決方案：1、安裝完成後，直接存取http://你的網域名稱/admin.php2、進入後台管理後，點擊【全域】-【

PHP5中開始加入了PDO，對於不同的資料庫它採用統一的訪問方式，據說PHP6中將預設使用PDO操作資料庫。Access是我經常用的一種資料庫，對於小的應用很方便！搜尋了一下，卻沒有找到具體的串連方法，於是邊搜尋邊研究，以下是PDO串連Access的方法：程式碼<?phptry{$db=new PDO("odbc:driver={microsoft access driver (*.mdb)};dbq=".getcwd()."\\#db.mdb");echo"Connected\n";}

centos下php安裝pear模組並配置虛擬機器主機支援Pear模組wget http://pear.php.net/go-pearphp go-pear提示Sorry! Your PHP version is too new (5.2.14) for this go-pear.下載新版本wget http://pear.php.net/go-pear.pharphp go-pear.phar然後提示1. Installation base ($prefix)                 

作為一個初級php程式員,無意之間接觸了phpmaker5,通過研究學習,這個東西可以協助快速開發背景程式.然後前台的就好解決的.畢竟操作資料庫的一塊感覺有些麻煩.有了這個東西簡單一些,不過操作都是英文的,能很好的支援中文頁面等.最近剛剛研究成功做出了一個簡單後台,然後可以繼續開發做網站了.比以前簡單多了.PHP代碼自動產生工具，一款在Windows平台上啟動並執行基於MYSQL資料庫自動產生PHP指令碼的軟體。使用產生的PHP代碼，你可以通過WEB網頁對資料庫的記錄進行瀏覽、修改、查詢、添加和

在參與了幾個大型PHP項目，寫了很多PHP代碼以後，我發現很多工具可以提高代碼品質，簡化發布，使得做為PHP開發人員的生涯變得輕鬆許多。許多這樣的工具可能已經為大家所用。但是，由於一些人甚至沒有注意到這些工具的存在，我會從此開始，好了，不說廢話，下面是我認為所有PHP程式員應該知道的工具列表。Phing - 一個項目構建系統Phing 是一個基於Apache ANT 的項目構建系統。它的名字是一個拗口的語句首字母縮寫 - PHing Is Not GNU make

原文地址：http://www.phpobject.net/blog/read.php/91.htm：Snoopy

這個代碼是從國外網站上下載回來的，是模仿 ChannelChooser.com 這個網站的。我安裝運行過，非常適合做adsense，當然你也可以修改最佳化 做正規的網站。對網站的要求很低，因為視頻源都是可以從網上搜尋添加進去的。後台可以添加 mms 流，視頻檔案，rss檔案，並給他們分類。在我看來