04 2008 档案
摘要:今天看了一下这个网站的内容比较易懂,感觉不错! http://www.woodpecker.org.cn/diveintopython/index.html 深入 Python :Dive Into Python 中文版 Python 从新手到专家 [Dip_5.4b_CPyUG_R...
阅读全文
摘要:在安装gadfly的时候,虽然看了安装文件,但还是感觉无从下手,于是就直接运行了setup.py ,然后把gadfly文件夹直接复制到了Karrigell-2.4.0/database/目录下竟然就能用了,呵呵!!! 心情不错!!! import gadfly cx = gadfly.gadfly() cx.startup( "persons","C:\/\/Karri...
阅读全文
摘要:4ZPyUG通用文章模板 AideTemplate CC厅专用文章模板 CPUG会课报名表模板 CPUG会课通知模板 ...
阅读全文
摘要:本博客已搬家 地址:www.czhphp.com 所有更新都会在新博客进行 谢谢大家的支持! 引用:http://wiki.woodpecker.org.cn/moin/DatabaseModulesPython 数据库接口模块::-- swordsp [2007-01-16 13:36:01] 目录专用数据库连接模块MySQLSQLitePostgreSQLOracleIBM DB2SAP DBInfomixInterbaseIngresSybaseSQL ServerThinkSQLMatisse通用数据库接口模块ODBCJDBCSQLRelay其它模块Gadfly 本条目收...
阅读全文
摘要:Rockety的 Karrigell 使用体验 1. Karrigell 1.1. 配置文件 配置选项在配置文件中设定。默认为服务器目录中的Karrigell.ini。你可以在命令行把它设为其它的文件。 配置文件分为几个部分: 1.1.1. [Directories] root 设置root选项为根目录的完整路径,你从那里发布文档。初始安装这一项没有设定,默认为服务器目录,即...
阅读全文
摘要:从今天起,和大家一起学习用python/karrigell做网站. 对于能搜到这篇文章的兄弟,一定是对karrigell是什么有大致的了解了,但是如果不知道也没关系.这个单词虽然很复杂,而且金山词霸不知道该怎么解释,但实际上的意思却很简单. karrigell,一个支持用python开发web程序的框架,说的再明白一些,就是一个可以解释python脚本的web服务器.如果你用 python写了一个...
阅读全文
摘要:今天一同事问我怎样获取表单下的所有元素;想了一下,大概是这样; 测试结果 文本框1: 文本框2: 文本框3: 文本框4: 文本框5:
阅读全文
摘要:Python连接MySQL 闲话少说,看代码: #!/usr/bin/env python # -*-coding:UTF-8-*- #这一句告诉python用UTF-8编码 #==================================...
阅读全文
摘要:Python连接MySQL 闲话少说,看代码: #!/usr/bin/env python # -*-coding:UTF-8-*- #这一句告诉python用UTF-8编码 #==================================...
阅读全文
摘要:网站就是要和数据库进行交互,否则什么都不用做了...今天我们来看一个叫MySQLdb的库,这个用来和MySQL数据库进行交互. 可以从这里获得这个库 http://sourceforge.net/projects/mysql-python 如果你不确定你的python环境里有没有这个库,那就打开python shell,输入 import MySQLdb,如果返回错误信息,那就表示你的机器上没有,赶紧去下载一个.我的机器是win xp,所以我下载了win环境下的exe那个,直接双击完成安装. ...
阅读全文
摘要:最近在学习python,下面列出了一些学习的资源: 1.下载与安装 python的安装与使用一样非常简单.python目前的最新发布版是2.4.2,可以去python的网站 下载,也可以点击此链接直接下载 windows 下的 msi 安装文件.安装时可以选择安装目录和组件,一般默认就可以了.安装好后,在windows下可以直接在"开始"菜单的程序组里找到新建的python组,里...
阅读全文
摘要:一种保护眼睛的好方法: 桌面->右键->属性->外观->高级->项目选择(窗口)、颜色(L)选择(其它)将色调改为:85。饱和度:123。亮度:205->添加到自定义颜色->在自定义颜色选定点确定->确定这样所有的文档都不再是刺眼的白底黑字,而是非常柔和的豆沙绿色,这个色调是眼科专家配置的,长时间使用会很有效的缓解眼睛疲劳保护眼睛 别忘了分享给你的好朋友
阅读全文
摘要:本博客已搬家 地址:www.czhphp.com 所有更新都会在新博客进行 谢谢大家的支持! 目标:[通过此练习能对linux基本命令熟悉,能够进行简单系统管理相关工作,更详细的指令说明,请参照man page]1.# 表示权限用户(如:root),$ 表示普通用户 开机提示:Login:输入用户名 password:输入口令 用户是系统注册用户成功登陆后,可以进入相应的用户环境. 退出当前shell,输入:exit2.useradd netseek 添加一个netseek用户 passwd netseek 给netseek这个用户设置密码. (/etc/passwd /etc/group)
阅读全文
摘要:目标:[通过此学习练习能够利用rpm包方式安装MySQL数据库,能够对MySQL数据库进行管理授权,备份等技术.] 纲要: 一,连接MySQL 二,MySQL管理与授权 三,数据库简单操作 四, 数据库备份 五,后记 一,安装连接MySQL 先查看mysql是否安装: rpm -qa|grep mysql -i (我用的是rpm包方式安装,查看是否安装...
阅读全文
摘要:目标:[通过此练习学习通够利用VI编辑器,对系统配置文件进行修改或编写简单的脚本程序] 命令行或命令模式:在最后一行没有显示--INSERT--或--REPLACE--字样的时候。 #: 是指常用的命令 一般模式:光标移动 h 或 -> 光标向左移动一个字符 ------------------------------------------------------------ l 或...
阅读全文
摘要:Linux 安装详解 目标:[linux安装详解,具体安装请看演示操作] 制作启动盘: dd /dev/fd0 cat /mnt/cdrom/images/bootdisk.img >/dev/fd0 主要安装过程: 硬件兼容性列表: http://hardware.redhat.com/hcl 安装模式选择: boot:linux text TUI linux dd 需要驱动软盘 lin...
阅读全文
摘要:安装supesite必备: 1.bbs必需安装 bbs必需要能够成功访问,否则你在执行install.php时候,即使你配置好了数据库的一些属性,但是点击按钮的话, 只是会告诉你配置ok,而不会有任何提示; 其实如果你bbs能访问的话,添加的的数据库的属性如果不对的话,是应该有提示的; 2.Zend Optimizer zend不安装的话,是会报编码错误,就是二进...
阅读全文
摘要:附录C. 加密 作为一本相关安全方面的书,通常加密是需要提及的话题。我之所以在本书的主体部分忽略了加密问题,是因为它的用途是狭窄的,而开发者应从大处着眼来考虑安全问题。过分依赖于加密常常会混淆问题的根源。尽管加密本身是有效的,但是进行加密并不会神奇地提高一个应用的安全性。 一个PHP开发人员应主要熟悉以下的加密方式: l 对称加密 l 非对称加密(公钥) l...
阅读全文
摘要:附录B. 函数 在我写作本书的时候,http://php.net/quickref.php列出了共3917个函数,其中包括一些类似函数的语法结构,在此我不准备把它们从函数中区分开来,而是把它作为函数看待。 由于函数数量很大,一一说明它们的正确及安全用法是不太可能的。在此我选出了我认为最需要注意的函数。选择的标准包括使用的频繁度、使用时的危险(安全)度及我本人的经验。 对于每一个列出的函...
阅读全文
摘要:尽管本书的焦点是在于应用的安全性,但有一些配置选项是任何关心安全的开发者必需熟悉的。PHP的配置会影响你所写代码的行为以及你使用的技巧,必要时你需要稍稍负责一下应用程序以外的东西。 PHP的配置主要由一个名为php.ini的文件所指定。该文件包含很多配置选项,每一项都会对PHP产生非常特定的影响。如果该文件不存在,或者该文件中的某选项不存在,则会使用默认值。 如果你不知道php.ini文件...
阅读全文
摘要:8.5. 安全模式 PHP的safe_mode选项的目的是为了解决本章所述的某些问题。但是,在PHP层面上去解决这类问题从架构上来看是不正确的,正如PHP手册所述(http://php.net/features.safe-mode)。 当安全模式生效时,PHP会对正在执行的脚本所读取(或所操作)文件的属主进行检查,以保证与该脚本的属主是相同的。虽然这样确实可以防范本章中的很多例子,但它...
阅读全文
摘要:8.4. 文件系统浏览 除了能在共享服务器上读取任意文件之外,攻击者还能建立一个可以浏览文件系统的脚本。由于你的大多数敏感文件不会保存在网站主目录下,此类脚本一般用于找到你的源文件的所在位置。请看下例: read()) { $size = filesize("$dir$filename"); if (is_dir("$dir$filenam...
阅读全文
摘要:8.3. 会话注入 一个与会话暴露类似的问题是会话注入。此类攻击是基于你的WEB服务器除了对会话存储目录有读取权限外,还有写入权限。因此,存在着编写一段允许其他用户添加,编辑或删除会话的脚本的可能。下例显示了一个允许用户方便地编辑已存在的会话数据的HTML表单: read()) { if (substr($filename, 0, 5) == 'sess...
阅读全文
摘要:8.2. 会话数据暴露 当你关注于防止源码的暴露时,你的会话数据只同样存在着风险。在默认情况下,SESSION保存在/tmp目录下。这样做在很多情形下是很方便的,其中之一是所有用户都有对/tmp的写入权限,这样Apache同样也有权限进行写入。虽然其他用户不能直接从shell环境读取这些会话文件,但他们可以写一个简单的脚本来进行读取: read()) { if (subst...
阅读全文
摘要:8.1. 源码暴露 你的WEB服务器必须要能够读取你的源确并执行它,这就意味着任意人所写的代码被服务器运行时,它同样可以读取你的源码。在一个共享主机上,最大的风险是由于WEB服务器是共享的,因此其它开发者所写的PHP代码可以读取任意文件。 通过在你的源码所在的主机上运行上面脚本,攻击者可以通过把file的值指定为完整的路径和文件名来使WEB服务器读取并显示任何文件。例如,假定...
阅读全文
摘要:在共享主机环境中达到高级别的安全是不可能的。可是,通过小心的规划,你能避免一些常见的错误并防止一些最常用的攻击手段。虽然有些方法需要你的主机提供商提供协助,但也有一些其他的你自己就能做到的方法。 本章涉及伴随共享主机而产生的风险。尽管同样的安全措施可以用于防止很多攻击手段,但为了认识到问题的范围,多看一些范例是很有用的。 由于本书的焦点是应用的安全性而不是架构的安全性,我不会讨论加强服务器...
阅读全文
摘要:7.4. 永久登录 永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。 永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。 图7-2. 攻击者通过重播用户的cookie进行未授权访问 据我观察,最常见的有...
阅读全文
摘要:7.3. 重播攻击 重播攻击,有时称为演示攻击,即攻击者重现以前合法用户向服务器所发送的数据以获取访问权或其它分配给该用户的权限。 与密码嗅探一样,防止重播攻击也需要你意识到数据的暴露。为防止重播攻击,你需要加大攻击者获取任何用于取得受限资源的访问权限的数据的难度。这主要要求做到避免以下做法: 设定受保护资源永久访问权的数据的使用; 设定受保护资源访问权的数据的暴露(甚至是只提供临时访...
阅读全文
摘要:7.2. 密码嗅探 尽管攻击者通过嗅探(察看)你的用户和应用间的网络通信并不专门用于访问控制,但要意识到数据暴露变得越来越重要,特别是对于验证信息。 使用SSL可以有效地防止HTTP请求和回应不被暴露。对任何使用https方案的资源的请求可以防止密码嗅探。最好的方法是一直使用SSL来发送验证信息,同时你可能还想用SSL来传送所有的包含会话标识的请求以防止会话劫持。 为防止用户验证信息不...
阅读全文
摘要:7.1. 暴力攻击 暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击——穷举各种可能性的攻击。 对于访问控制,典型的暴力攻击表现为攻击者通过大量的尝试去试图登录系统。在多数情况下,用户名是已知的,而只需要猜测密码。 尽管暴力攻击没有技巧性可言,但词典攻击似乎有一定的技巧性。最大的区别是在进行猜测时的智能化。词典攻击只会最可能的情况列表中进行穷举,...
阅读全文
摘要:很多Web应用被其糟糕的身份验证与授权机制所困扰。本章主要讨论相关这些机制的漏洞,传授一些帮助你不犯通病的方法。我将通过一些例子进一步说明这些方法,但请注意不要把这些示例与其上下文割裂开来看,理解其中包含的原则和方法是很重要的。只有到那个时候你才能对它们进行正确运用。 通过验证我们可以确定一个用户的身份。典型的做法是简单地使用用户名和密码进行检查。这样我们就能确定登录用户是一个授权用户。 ...
阅读全文
摘要:本章主要讨论伴随着文件与shell命令的使用所产生的风险。PHP有大量的文件系统函数,与直接执行shell命令只有少量的区别。在本章中,我会着重强调开发者在使用这些功能时常犯的错误。 总的来说,伴随这些功能所产生的风险类似于很多本书已提及的风险——使用被污染数据具有灾难性的副作用。尽管漏洞是不同的,但是用来对付它们的方法都是你已学过的方法。 6.1. 文件系统跨越 无论你用什么方法使...
阅读全文