随笔 - 137
文章 - 1
评论 - 3
阅读 -
14万
12 2012 档案
is_uploaded_file函数引发的问题
摘要:起因 :在利用MooPHP的一个项目中,接到用户反馈说其所有客户不能上传文件,都返回失败。经过排查发现是PHP中的is_uploaded_file函数在捣鬼。细节分析:在正常情况下,通过PHP上传文件,需要通过is_uploaded_file函数来判断文件是否是通过 HTTP POST 上传的,这可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件,例如 /etc/passwd。而本次遇到的问题是本来应该是C:/WINDOWS/Temp/php99.tmp这样的tmp_name,却变成了C://WINDOWS//Temp//php99.tmp这种,导致is_uploaded_file函数返
阅读全文
mysql group by排序问题
摘要:类如 有一个 帖子的回复表,posts( id , tid , subject , message , dateline ) ,id为 自动增长字段, tid为该回复的主题帖子的id(外键关联), subject 为回复标题, message 为回复内容, dateline 为回复时间,用UNIX 时间戳表示,现在要求 选出 前十个来自不同主题的最新回复SELECT * FROM posts GROUP BY tid LIMIT 10这样一个sql语句选出来的并非你想要的 最新的回复,而是最早的回复,实际上是某篇主题的第一条回复记录!也就是说 GROUP BY 语句没有排序,那么怎么才能让 G
阅读全文
discuz 数据字典大全
摘要:最近在做 discuz的二次开发,发现一个比较全面的 discuz数据库字典地址,下面分享出来给大家1http://wiki.blueidea.com/index.php?title=Discuz!X/%E6%95%B0%E6%8D%AE%E5%BA%93%E5%AD%97%E5%85%B8
阅读全文
javascript 数组的知识整理
摘要:1 javascript 数组的 常见几种定义方式并初始化 var emptyArr = new Array();//定一个空数组,长度默认为0 var arr = new Array(5);//定义一个长度为5的数组 var array = new Array('a','b','c','d','e');//定一个数组并初始化值 var listArr = [1,23,4,5,6,7];//定义数组,并初始化值 2 数组的长度属性 通过length属性我们可以获取 数组的长度 ,在定义数组的时候 我们也可以定义数组
阅读全文
php 读取文件头部两个字节 判断文件的实际类型
摘要:function checkFileType($fileName){ $file = fopen($fileName, "rb"); $bin = fread($file, 2); //只读2字节 fclose($file); $strInfo = @unpack("C2chars", $bin);// C为无符号整数,网上搜到的都是c,为有符号整数,这样会产生负数判断不正常 $typeCode = intval($strInfo['chars1'].$strInfo['chars2']); $fileType =
阅读全文
PHP漏洞全解(PHP安全性/命令注入/脚本植入/xss跨站/SQL注入/伪跨站请求/Session劫持/HTTP响应拆分/文件上传漏洞)
摘要:目录PHP漏洞全解(一)-PHP网站的安全性问题PHP漏洞全解(二)-命令注入攻击PHP漏洞全解(三)-客户端脚本植入PHP漏洞全解(四)-xss跨站脚本攻击PHP漏洞全解(五)-SQL注入攻击PHP漏洞全解(六)-跨网站请求伪造PHP漏洞全解(七)-Session劫持PHP漏洞全解(八)-HTTP响应拆分PHP漏洞全解(九)-文件上传漏洞PHP漏洞全解(一)-PHP网站的安全性问题针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(
阅读全文
服务器配置 隐藏apache和php的版本
摘要:第一个隐藏apache和php版本的经典,隐藏apache和php版本是服务器管理人员和程序员必回的,多的不说了,现在我们就开始自己动 手学习怎样隐藏apache版本和隐藏php版本吧!其实隐藏apache版本和php版本很简单,简单的就是两句话,那为什么我还要写这么多呢?那是因 为我写了很多废话,好了,我们现在进入正题,开始学习隐藏apache和php版本了,O(∩_∩)O哈哈哈~ 第一讲开拍: 隐藏apache和php的版本信息,web server避免一些不必要的麻烦,可以把apache和php的版本信息不显示隐藏 Apache 版本信息/etc/apache2/apach...
阅读全文
apache nginx 通过 rewrite 设置 禁止执行PHP程序
摘要:网站难免有漏洞,上次一个 朋友的 网站 用了 一套开源的系统 结果被人挂了木马, 检查了一下 原来是 编辑模板 的时候 一个漏洞,往模板的里面写入了一句话木马。其实可以通过rewrite做设置的Apache环境规则内容如下:Apache执行php脚本限制 把这些规则添加到.htaccess文件中RewriteEngine on RewriteCond % !^$RewriteRule uploads/(.*).(php)$ – [F]RewriteRule data/(.*).(php)$ – [F]RewriteRule templets/(.*).(php)$ –[F]先要编辑ngin..
阅读全文