以图明志

IT人家

持续学习可以降低不安全感

聊聊上半年的感受
今天是7月1日,2014年下半年的第一天。上半年过去了,你的年度计划有没有完成一半呢?我没有完成。比如上半年想研读完TAOCP,结果到现在也只读了第一本的第一章……上半年发生太多事,计划没有变化快。比如新房子的装修,完全的清包,就是装修材料全部自己跑,想想家里的每一块砖,每一根电线,都需要自己买。去年买的是132平的大毛坯房,结果买时一时爽,装时悔断肠。地板,瓷砖,橱柜,这几个大头全因为面积太大,导致预算根本挡不住。

PHP服务器脚本

[专题] PHP安全编程:PHP的安全模式

对文件的属主进行检查
PHP的safe_mode选项的目的是为了解决本小节前后所述的某些问题。当安全模式生效时,PHP会对正在执行的脚本所读取(或所操作)文件的属主进行检查,以保证与该脚本的属主是相同的。虽然这样确实可以防范本章中的很多例子,但它不会影响其它语言编写的程序。

PHP服务器脚本

[专题] PHP安全编程:对输出要进行转义

对特殊字符进行编码
另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码,以保证原意不变。例如,O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分,而不是并不是它的本义。

PHP服务器脚本

[专题] PHP安全编程:过滤用户输入

过滤是Web应用安全的基础
过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤,你可以避免被污染(未过滤)数据在你的程序中被误信及误用。大多数流行的PHP应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。

PHP服务器脚本

[专题] PHP安全编程:不要让不相关的人看到报错信息

关于错误报告
没有不会犯错的开发者,PHP的错误报告功能可以协助你确认和定位这些错误,可以提供的这些错误的详细描述,但如果被恶意攻击者看到,这就不妙了。不能让大众看到报错信息,这一点很重要。做到这一点很容易,只要关闭display_errors,当然如果您希望得到出错信息,可以打开log_errors选项,并在error_log选项中设置出错日志文件的保存路径。

PHP服务器脚本

register_globals使用上的一些补充说明

register_globals的安全性问题
register_globals是php.ini里的一个配置,这个配置影响到php如何接收传递过来的参数,如果你的问题是:为什么我的表单无法传递数据?为什么我的程序无法得到传递过来的变量?等等,那么你需要仔细的阅读以下的内容。 register_globals的值可以设置为:On或者Off,我们举一段代码来分别描述它们的不同。

PHP服务器脚本

[专题] PHP安全编程:register_globals的安全性

全局变量注册
如果你还能记起早期Web应用开发中使用C开发CGI程序的话,一定会对繁琐的表单处理深有体会。当PHP的register_globals配置选项打开时,复杂的原始表单处理不复存在,公用变量会自动建立。它让PHP编程变得容易和方便,但同时也带来了安全隐患。

信息安全

保证PHP网站安全的一些编程技巧

PHP安全防范
网站的安全是我们必须要考虑的问题,只要我们做好了防范措施,就可以基本防止一些人利用网站本身的漏洞进行网站操作了。比如用htmlentities()预防XSS攻击,用mysql_real_escape_string防止sql注入等等。PHP包括其他任何网络编程语言的安全性,具体表现在本地安全性和远程安全性两个方面,这里我们应该养成如下的几个习惯确保我们的PHP程序本身是安全的。

Web设计理念

Web开发须知:URL编码与解码

Url编码的原则就是使用安全的字符
通常如果一样东西需要编码,说明这样东西并不适合传输。原因多种多样,如Size过大,包含隐私数据,对于Url来说,之所以要进行编码,是因为Url中有些字符会引起歧义。例如Url参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/s?q=abc&ie=utf-8。如果你的value字符串中包含了=或者&,那么势必会造成接收Url的服务器解析错误。

Web设计理念

安全色谱与Web配色技巧

让你的网站色彩更丰富
红色的色感温暖,性格刚烈而外向,是一种对人刺激性很强的色。红色容易引起人的注意,也容易使人兴奋、激动、紧张、冲动、还是一种容易造成人视觉疲劳的色。蓝色的色感冷嘲热讽,性格朴实而内向,是一种有助于人头脑冷嘲热讽静的色。蓝色的朴实、内向性格,常为那些性格活跃、具有较强扩张力的色彩,提供一个深远、广埔、平静的空间。

PHP服务器脚本

安全的PHP代码编写准则

考虑周全让你的Web应用坚固无比
关于 Web 应用程序安全性,必须认识到的第一件事是不应该信任外部数据。外部数据(outside data) 包括不是由程序员在 PHP 代码中直接输入的任何数据。在采取措施确保安全之前,来自任何其他来源(比如 GET 变量、表单 POST、数据库、配置文件、会话变量或 cookie)的任何数据都是不可信任的。

信息安全

JavaScript用户密码安全强度判定

判断用户输入的字符组合
判断用户输入的密码,然后告诉用户其密码的强度是一个很好的用户体验设计,一来可以提高用户密码的安全度,也可以让用户对网站产生信任感。下面是一个简单的判断用户密码强度的JavaScript程序。

信息安全

Web的前端设计的安全问题

了解并防范来自前端的攻击
随着前端技术的发展,安全问题已经从服务器悄然来到了每一个用户的的面前,盗取用户数据,制造恶意的可以自我复制的蠕虫代码,让病毒在用户间传播,使服务器当掉。更有甚者可能会在用户不知觉得情况下,让用户成为攻击者,这绝对不是骇人听闻。富客户端的应用越来越广,前端的安全问题也随之增多,今天就简单介绍下一些常见的攻击方式和预防攻击办法。

信息安全

PHP网站的一些常见安全措施

网站安全是网站发展的基础
网站安全是网站发展的基础,其重要性是不言而喻的。我们来谈谈PHP网站一些常见的安全防御措施,虽然简单但是能够有效保障网站的安全运行。web服务器方面,不要以root身份运行web程序,关闭目录浏览,确保web目录之外没有提供服务。 防止语义url攻击,对一些敏感信息的输出或者操作要对用户进行验证,最好重新让用户输入验证一次密码。
1 / 1 首页 < Prev 1 Next > 尾页 页码: