随笔分类 - 30.网络基础/Web安全
摘要:服务器一般达到多少QPS比较好? 一个大型网站需要多少服务器?
阅读全文
摘要:- Fatal:网站挂了,或者极度不正常 - Error:跟遇到的用户说对不起,可能有 bug - Warn:记录一下,某事又发生了 - Info:提示一切正常 - debug:没问题,就看看堆栈 参考: http://weibo.com/tv/v/FdyoAyEFC?fid=1034:296a60
阅读全文
摘要:Javadoc虽然是Sun公司为Java文档自动生成设计的,可以从程序源代码中抽取类、方法、成员等注释形成一个和源代码配套的API帮助文档。但是Javadoc的注释也符合C的注释格式,而且doxyen也支持该种风格的注释。 官方文档:http://docs.oracle.com/javase/7/d
阅读全文
摘要:命名 YAML 的意思其实是:"Yet Another Markup Language"(仍是一种置标语言)的缩写。 功能 YAML的语法和其他高阶语言类似,并且可以简单表达清单、散列表,标量等资料形态、。 它使用 空白符号缩排 和 大量依赖外观的特色,特别适合用来表达或编辑数据结构、各种设定档、倾
阅读全文
摘要:我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一、为何要优先使用PDO? PHP手册上说得很清楚: Prepared stateme
阅读全文
摘要:首先:不要使用 mysql_escape_string(),它已被弃用,请使用 mysql_real_escape_string() 代替它。 mysql_real_escape_string() 和 addslashes() 的区别在于: 区别一: addslashes() 不知道任何有关MySQ
阅读全文
摘要:1. addslashes() addslashes()对SQL语句中的特殊字符进行转义操作,包括(‘), (“), (), (NUL)四个字符,此函数在DBMS没有自己的转义函数时候使用,但是如果DBMS有自己的转义函数,那么推荐使用原装函数,比如MySQL有mysql_real_escape_s
阅读全文
摘要:摘要 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示
阅读全文
摘要:(1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mod
阅读全文
摘要:当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法
阅读全文
摘要:http://gnaw0725.blog.51cto.com/156601/1653137
阅读全文
摘要:addslashes 和 mysql_real_escape_string 都是为了使数据安全的插入到数据库中而进行的过滤,那么这两个函数到底是有什么区别呢? 首先,我们还是从PHP手册入手: 手册上addslashes转义的字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL 字符)。
阅读全文
摘要:http://www.cnblogs.com/hoojo/p/longPolling_comet_jquery_iframe_ajax.html
阅读全文
摘要:PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的PHP安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。下面我们分析几个会引发安全问题的PHP配置,并给出建议的选项。 1、register_globals = Off PHP在进程启
阅读全文
摘要:关于 JSONP JSONP 全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 <script></script> 元素标签,远程调用 JSON 文件来实现数据传递。如要在 a.com 域下获取存在 b.
阅读全文
摘要:URL、URN、URI区别 既然Web应用程序的文件等资源是放在服务器上,而服务器是因特网(Internet)上的主机,当然必须要有个方法,告诉浏览器到哪里取得文件等资源。通常会听到有人这么说:“你要指定URL”,偶尔会听到有人说:“你要指定URI”。那么到底什么是URL、URI?甚至你还听过URN
阅读全文
摘要:在Form元素的语法中,EncType表明提交数据的格式 用 Enctype 属性指定将数据回发到服务器时浏览器使用的编码类型。 下边是说明: application/x-www-form-urlencoded: 窗体数据被编码为名称/值对。这是标准的编码格式。 multipart/form-dat
阅读全文
摘要:有一点我们必须承认,大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识,从而理解该协议的无状态特性。然后,学习一些关于cookie的基本操作。最后,我会一步步阐述如何使用一些简单,高效的方法
阅读全文
摘要:字符 URL编码值 space %20 " %22 # %23 % %25 & %26 ( %28 ) %29 + %2B , %2C / %2F : %3A ; %3B < %3C = %3D > %3E ? %3F @ %4o \ %5C | %7C
阅读全文
摘要:$_SERVER['PHP_SELF']简介 $_SERVER['PHP_SELF'] 表示当前 PHP文件相对于网站根目录的位置地址,与 document root 相关。 假设我们有如下网址,$_SERVER['PHP_SELF']得到的结果分别为: http://52php.cnblogs.c
阅读全文
