|
|
|
|
摘要:
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。上面是在百度百科中搜到的一段话,这里主要是想具体演示一下这个过程。1.准备数据库,在MySQL的test数据库中执行如下SQL语句:CREATE TABLE `test`.`admin_user` (`login` VARCHAR( 20 ) NOT NULL ,`password` VARCHAR( 20 ) NOT NULL ) ENGI 阅读全文
posted @ 2012-12-28 21:22 eastson 阅读(256) 评论(0) 推荐(0) 编辑
摘要:
index.php文件第一行就是包含了include_once('./common.php');这里对common.php文件解析<?php/* [UCenter Home] (C) 2007-2008 Comsenz Inc. $Id: common.php 13032 2009-08-06 03:03:00Z liguode $*///定义一个常量,用来在其他页面中,防止被恶意用户直接调用其他PHP文件。@define('IN_UCHOME', TRUE);/*定义程序的调试模式,在我们调试程序的时候将常量值设为1,这样程序出错的时候会在页面显示错误信 阅读全文
posted @ 2012-12-28 21:19 eastson 阅读(302) 评论(0) 推荐(0) 编辑
摘要:
UCHome针对MySQL数据库实现了一个封装类,没有使用ADODB或者PEAR这样的开源数据库框架,这样做的好处是文件非常少,空间非常小。1.数据库配置和很多的PHP项目一样,UCHome的数据库配置放在了配置文件config.php中,从第9行到16行:$_SC['dbhost'] = 'localhost'; //督????$_SC['dbuser'] = 'root';$_SC['dbpw'] = ''; $_SC['dbcharset'] = 'utf8'; 阅读全文
posted @ 2012-12-28 21:18 eastson 阅读(315) 评论(0) 推荐(0) 编辑
摘要:
http://www.nextphp.com/upload/uchome2.0_datadict.html 阅读全文
posted @ 2012-12-28 21:17 eastson 阅读(155) 评论(0) 推荐(0) 编辑
摘要:
UCHome可以通过设置允许某些IP地址访问,也可以禁止某些IP地址访问。IP控制的设置可以在管理后台通过“访问IP设置”完成。1.设置数据的保存IP控制的数据保存在UCHome的配置表config中,ipaccess代表允许访问的IP,ipbanned代表禁止访问的IP。可以设置多个,每个IP以\r\n分隔,既可输入完整地址,也可只输入IP开头。例如:"192.168."(不含引号)可匹配192.168.0.0~192.168.255.255范围内的所有地址,留空为所有IP均可访问。2.checkclose()函数function checkclose() { globa 阅读全文
posted @ 2012-12-28 21:15 eastson 阅读(278) 评论(0) 推荐(0) 编辑
摘要:
UCHome进行表单提交时做了有效性检查,保证所有的提交都来源于本站。1.表单实现UCHome的所有表单都有一个隐藏的栏位formhash,用来保存由本地服务器产生一个Hash值。formhash的值由函数formhash()产生。<form method="post" action="admincp.php?ac=ip"> ...... <div class="footactions"> <input type="submit" name="thevaluesubmit&q 阅读全文
posted @ 2012-12-28 21:13 eastson 阅读(229) 评论(0) 推荐(0) 编辑
摘要:
UCHome的权限是通过用户组实现的。UCHome的用户组分为三类:普通用户组,特殊用户组,系统用户组。普通用户组的用户根据经验值的变化自动升级或降级到另外一个普通用户组,特殊用户组和系统用户组的用户不受经验值的变化而改变用户组。普通用户组只能管理用户自己的空间,特殊用户组和系统用户组不仅能管理自己的空间,还能管理站点。所有的用户组信息都存放在usergroup表(http://www.nextphp.com/upload/uchome2.0_datadict.html#usergroup)中,栏位system表示组的类型:0代表普通用户组,-1代表系统用户组,1代表特殊用户组。用户组的每一个 阅读全文
posted @ 2012-12-28 21:13 eastson 阅读(418) 评论(0) 推荐(0) 编辑
摘要:
PHP+MYSQL做网站开发通常都会碰到浏览器输出中文字符时乱码,这个问题的原因主要是因为HTML内容编码,PHP文件编码和MySQL数据库编码这三者不一致造成的。下面我们以UTF-8为例简述一下如何统一这三者之间的关系。新增一个PHP文件,命名为test_charset.php,将下面的代码保存到该文件中:<?php $charset = "utf8"; $con = mysql_connect("localhost", "root", ""); mysql_query("SET characte 阅读全文
posted @ 2012-12-28 21:09 eastson 阅读(477) 评论(0) 推荐(0) 编辑
摘要:
序列化是将系统对象转换成字符串的过程,反序列化则是将字符串再转换成系统对象的过程。序列化后的字符串可以很方便的保存到操作系统文件,数据库,或者通过网络传输到其它电脑。PHP提供了实现序列化的方法serialize和unserialize。请将下面的代码保存到一个PHP文件中:<?php $a = array( "name" => "amonest", "age" => 30, "married" => true, "attributes" => array( &qu 阅读全文
posted @ 2012-12-28 21:08 eastson 阅读(196) 评论(0) 推荐(0) 编辑
摘要:
1.安装TurboC++3.0,安装的目的是为了使用其bin目录下的make。2.安装Cygwin,当前最新版本是1.7.9-1。3.从开始菜单打开CygwinBashShell,进入Home目录,新增一个helloworld.c源文件。4.在相同目录下新增Makefile文件,将下面的内容复制到里面:helloworld.exe : helloworld.o gcc -o helloworld.exe helloworld.ohelloworld.o: gcc -c helloworld.cclean: rm -rf *.exe *.o *~5.运行make,当前目录下会多... 阅读全文
posted @ 2012-12-28 21:07 eastson 阅读(331) 评论(0) 推荐(0) 编辑 |
|