编程安全注意 - 随笔分类 - 一束光

php中var_export与var_dump的区别分析

摘要：一 var_dump void var_dump ( mixed expression [, mixed expression [, ...]] ) 此函数显示关于一个或多个表达式的结构信息，包括表达式的类型与值。数组将递归展开值，通过缩进显示其结构。二 var_export var_export... 阅读全文

posted @ 2015-03-17 22:56 一束光阅读(1042) 评论(0) 推荐(0) 编辑

ecshop被加入了黑链

摘要：朋友一个ecshop网站被攻击了，查看代码如下： *{padding:0; margin:0;} body{background:threedface;font-family:"Verdana", "Tahoma", "宋体",sans-serif; font-size:13px;margin-top:3px;margin-bottom:3px;table-layout:fixed;word-break:break-all;} a{color:#000000;text-decoration:none;} a:hover{backgro 阅读全文

posted @ 2014-04-07 22:59 一束光阅读(4753) 评论(0) 推荐(0) 编辑

使用 PHP 构建的 Web 应用如何避免 XSS 攻击

摘要：XSS 全称为 Cross Site Scripting，用户在表单中有意或无意输入一些恶意字符，从而破坏页面的表现！看看常见的恶意字符XSS 输入：1.XSS 输入通常包含 JavaScript 脚本，如弹出恶意警告框：2.XSS 输入也可能是 HTML 代码段，譬如：(1).网页不停地刷新 (2).嵌入其它网站的链接对于PHP开发者来说，如何去防范XSS攻击呢？/** * @param $string * @param $low 安全别级低 */ function clean_xss(&$string, $low = False) { if (! is... 阅读全文

posted @ 2014-01-09 14:31 一束光阅读(1326) 评论(0) 推荐(1) 编辑

同源策略

摘要：概念:同源策略是客户端脚本（尤其是Javascript）的重要的安全度量标准。它最早出自Netscape Navigator2.0，其目的是防止某个文档或脚本从多个不同源装载。这里的同源指的是：同协议，同域名和同端口。精髓：它的精髓很简单：它认为自任何站点装载的信赖内容是不安全的。当被浏览器半信半疑的脚本运行在沙箱时，它们应该只被允许访问来自同一站点的资源，而不是那些来自其它站点可能怀有恶意的资源。为什么要有同源限制？我们举例说明：比如一个黑客程序，他利用IFrame把真正的银行登录页面嵌到他的页面上，当你使用真实的用户名，密码登录时，他的页面就可以通过Javascript读取到你的表单中阅读全文

posted @ 2014-01-07 10:21 一束光阅读(460) 评论(0) 推荐(0) 编辑

csrf跨站请求攻击

摘要：浅谈CSRF攻击方式 http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 阅读全文

posted @ 2014-01-07 10:20 一束光阅读(196) 评论(0) 推荐(0) 编辑

xss攻击入门

摘要：xss表示Cross Site Scripting(跨站脚本攻击)，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制。xss攻击可以分成两种类型：非持久型攻击持久型攻击下面我们通过具体例子，了解两种类型xss攻击。1.非持久型xss攻击顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户游览器执行，从而达到攻击目的。假设有以下index.php页面：";echo 阅读全文

posted @ 2013-12-31 15:55 一束光阅读(290) 评论(0) 推荐(0) 编辑

php比较函数，判断安全函数

摘要：一、字符串比较函数:int strcasecmp ( string $str1 , string $str2 ) int strcmp ( string $str1 , string $str2 )int strncmp ( string $str1 , string $str2 , int $len )int strncasecmp ( string $str1 , string $str2 , int $len )这几个函数主要是用于字符串的比较，而不会自动转义在PHP中，可以用==（双等号）或者 ===（三等号）来比较字符串。两者的区别是双等号不比较类型，三等号会比较类型，它不转换类型；阅读全文

posted @ 2013-12-31 15:06 一束光阅读(285) 评论(0) 推荐(0) 编辑

如何编写安全的PHP代码

摘要：转于：http://www.nowamagic.net/php/php_HowToWriteSafePhpCode.php 阅读全文

posted @ 2013-11-07 01:16 一束光阅读(162) 评论(0) 推荐(0) 编辑

网站编程安全之更改文章时注意事项

摘要：一：更改文章时，不要信赖任何用户提交的数据用户会可能通过html代码修改更改文章的id号，来修改其他文章，如果没有对上传过来的文章id检验而直接利用获得的id来更改的话，很可能会出现一个用户把另外一个用户的文章给修改了。解决办法：对用户提交的文章id，进行验证，看是否是该用户的文章，如果是才有修改的权限，如果没有，则返回错误。（具体可以利用session存储用户登录的id，然后通过匹配是否能找到对应的记录，如果可以，说明是本人的文章，如果不是返回错误）以新浪博客为例：1、新浪博客文章的blog_id是加密过的字符串: 这里是的blog_id是：6a23a4c20101fi2l2、编辑文. 阅读全文

posted @ 2013-09-10 19:57 一束光阅读(497) 评论(0) 推荐(1) 编辑

一束光

生活除了代码，还有诗歌! 我要陶冶情操

随笔分类 - 编程安全注意

公告

搜索

常用链接

我的标签

随笔分类

随笔档案

js学习资源

阅读排行榜

评论排行榜

推荐排行榜

最新评论

友情链接

一束光

#blogTitle .tip {padding-left:10px;} #blogTitle a.red {font-size:24px; color:red} #blogTitle a.red:hover{color:red} 生活除了代码，还有诗歌! 我要陶冶情操