网站首页
Veda 原型
互联网资讯
魔法图书馆
晚上八点
订阅
邮件
Veda 原型
成功,唯有积累,没有奇迹
编程语言
PHP服务器脚本
Python程序设计
Java编程语言
C/C++编程语言
前端设计
HTML/HTML 5
CSS层叠样式表
JavaScript
JQuery
Ajax技术
Flex/ActionScript
计算机基础
数据结构
计算机算法
编程思想
面向对象技术
计算机数学与基础
数据之美
数据库技术
Web设计理念
软件架构技术
开源与工具
开源项目与工具
信息安全
搜索引擎优化
网站运维
移动开发
iOS开发
Android开发
程序与生活
IT人家
智力开发
互联网时代
游戏 享受与创造
友情链接
博客导航
专题列表
计算机书籍推荐
关于本站
以图明志
-A wakening of the Trailblazer-
Gundam OO
Unlimited Blade Works
Fate Stay Night
Code Geass
Code Geass
Gundam OOQ Design
Gundam OO
Aeolia Schenberg
Gundam OO
PHP服务器脚本
PHP安全编程:关于表单欺骗提交
欺骗表单攻击是不能防止的
表单
提交
在 2012年05月06日 那天写的
14,908 views
制造一个欺骗表单几乎与假造一个URL一样简单。毕竟,表单的提交只是浏览器发出的一个HTTP请求而已。请求的部分格式取决于表单,某些请求中的数据来自于用户。当表单提交时,浏览器会请求action中指定的URL,同时它使用当前的URL地址来定位相对URL。
阅读全文 >>
PHP服务器脚本
PHP安全编程:跨站请求伪造CSRF的防御
比如可以使用验证码方法
跨站请求
CSRF
验证码
在 2012年05月06日 那天写的
22,263 views
跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于跨站请求伪造攻击。事实上,如果没有对跨站请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。
阅读全文 >>
PHP服务器脚本
PHP安全编程:跨站脚本攻击的防御
htmlentities()转换为HTML实体
跨站脚本
htmlentities
在 2012年05月06日 那天写的
25,541 views
跨站脚本攻击是众所周知的攻击方式之一。所有平台上的Web应用都深受其扰,PHP应用也不例外。所有有输入的应用都面临着风险。Webmail,论坛,留言本,甚至是Blog。事实上,大多数Web应用提供输入是出于更吸引人气的目的,但同时这也会把自己置于危险之中。如果输入没有正确地进行过滤和转义,跨站脚本漏洞就产生了。
阅读全文 >>
PHP服务器脚本
PHP安全编程:文件上传攻击的防御
加上一层额外的安全保护层
文件上传
攻击
在 2012年05月06日 那天写的
16,303 views
有时在除了标准的表单数据外,你还需要让用户进行文件上传。由于文件在表单中传送时与其它的表单数据不同,你必须指定一个特别的编码方式multipart/form-data。一个同时有普通表单数据和文件的表单是一个特殊的格式,而指定编码方式可以使浏览器能按该可格式的要求去处理。
阅读全文 >>
PHP服务器脚本
PHP安全编程:从URL的语义进行攻击
以一个Webmail系统为例
URL
攻击
在 2012年05月06日 那天写的
15,096 views
好奇心是很多攻击者的主要动机,语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如,如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris, 很自然地他可能会试图改变user的值,看看会发生什么。
阅读全文 >>
PHP服务器脚本
PHP安全编程:表单与数据安全
简单可靠地区分两类数据
表单
数据
在 2012年05月06日 那天写的
16,434 views
在典型的PHP应用开发中,大多数的逻辑涉及数据处理任务,例如确认用户是否成功登录,在购物车中加入商品及处理信用卡交易。所有你自己设定的数据可信数据,可以认为是已过滤数据。一个你自己设定的数据是任何的硬编码数据,例如下面的email地址数据:$email = 'gonn@nowamagic.net';
阅读全文 >>
PHP服务器脚本
PHP安全编程:对输出要进行转义
对特殊字符进行编码
安全
转义
在 2012年05月05日 那天写的
16,104 views
另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。
阅读全文 >>
PHP服务器脚本
PHP安全编程:过滤用户输入
过滤是Web应用安全的基础
过滤
安全
在 2012年05月05日 那天写的
23,651 views
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。
阅读全文 >>
PHP服务器脚本
PHP安全编程:可用性与数据跟踪
在风险与可用性之间作出平衡
可用性
数据跟踪
风险
在 2012年05月05日 那天写的
9,769 views
用户操作的友好性与安全措施是一对矛盾,在提高安全性的同时,通常会降低可用性。在你为不合逻辑的使用者写代码时,必须要考虑到符合逻辑的正常使用者。要达到适当的平衡的确很难,但是你必须去做好它,没有人能替代你,因为这是你的软件。
阅读全文 >>
PHP服务器脚本
PHP安全编程:网站安全设计的一些原则
深度防范、最小权限
防范
权限
在 2012年05月05日 那天写的
14,523 views
深度防范原则是安全专业人员人人皆知的原则,它说明了冗余安全措施的价值,这是被历史所证明的。深度防范原则可以延伸到其它领域,不仅仅是局限于编程领域。使用过备份伞的跳伞队员可以证明有冗余安全措施是多么的有价值,尽管大家永远不希望主伞失效。一个冗余的安全措施可以在主安全措施失效的潜在的起到重大作用。
阅读全文 >>
PHP服务器脚本
PHP set_error_handler()函数的使用
报错信息管理
报错
set_error_handler
在 2012年05月05日 那天写的
19,473 views
我们写程序,难免会有问题(是经常会遇到问题 ),而PHP遇到错误时,就会给出出错脚本的位置、行数和原因。有很多人说,这并没有什么大不了。确实,在调试程序阶段,这确实是没啥的,而且我认为给出错误路径是必要的。但泄露了实际路径的后果是不堪设想的,对于某些入侵者,这个信息可是非常重要,而事实上现在有很多的服务器都存在这个问题。
阅读全文 >>
PHP服务器脚本
PHP安全编程:不要让不相关的人看到报错信息
关于错误报告
安全
错误报告
在 2012年05月05日 那天写的
15,345 views
没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。
阅读全文 >>
PHP服务器脚本
register_globals使用上的一些补充说明
register_globals的安全性问题
register_globals
安全性
在 2012年05月05日 那天写的
5,277 views
register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数,如果你的问题是:为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?等等,那么你需要仔细的阅读以下的内容。 register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。
阅读全文 >>
PHP服务器脚本
PHP安全编程:register_globals的安全性
全局变量注册
安全编程
register_globals
全局变量
在 2012年05月05日 那天写的
23,872 views
如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHP的register_globals配置选项打开时,复杂的原始表单处理不复存在,公用变量会自动建立。它让PHP编程变得容易和方便,但同时也带来了安全隐患。
阅读全文 >>
PHP服务器脚本
让Hostmonster的网站程序也能发送邮件
用端口26发送邮件
Hostmonster
邮件
PHPMailer
在 2012年05月04日 那天写的
9,752 views
HostMonster网站程序一般无法发送邮件,因为端口25阻塞了。许多ISP屏蔽了端口25的使用,而该端口是用来发送邮件的。他们这样做是为了减少垃圾邮件的发送量。所有通过Internet发送的 e-mail 都要通过端口25, 该通道用来进行e-mail 客户端和 e-mail服务器之间的通信。
阅读全文 >>
PHP服务器脚本
用原生PHP写一个像CodeIgniter的路由功能
对PHP的路由功能更熟悉
CodeIgniter
路由
在 2012年05月03日 那天写的
26,287 views
前段时间写了个关于手机应用的api,一直是用的query_string这种地址,而且还是根据一个act参数来区分所有的动作,这种让开发人员看起来比较费眼。本来想改写为“?c=controller&m=method&type=3&id=1” 这种形式,利用m参数来载入文件并进行实例化,后来看了sina weibo api 是对地址进行了路由。
阅读全文 >>
4 / 34
首页
< Prev
2
3
4
5
6
Next >
尾页
页码:
邮件订阅
输入您的邮箱地址,将会收到本站的文章更新信息,赶紧订阅吧。
RSS
Google
鲜果
抓虾
九点
有道
哪吒
QQ邮箱
时不我待
本周热门博文
品读《诫子书》
129 views
更多优秀文章,请移步
精华排行
互联网资讯
陈一舟:创业18年,我领悟的五点心得
384 views
ADS
大音声稀
我亦无它,唯手熟尔。
晚八点
新时代严肃阅读指南:文本矩阵简述
662 views
我的微博
ADS
文章分类
专题推荐
其它
捐助本站
计算机书籍推荐
Sponsors
按月归档