摘要： 虽然说在某些特殊情况下依然可能会产生XSS，但是如果严格按照此解决方案则能避免大部分XSS攻击。 原则：宁死也不让数据变成可执行的代码，不信任任何用户的数据，严格区数据和代码。 XSS的演示 Example 1:几乎所有的网站上看到一个搜索框。有了这个搜索框，你可以搜索并找到在网站上存放的资料。这种 阅读全文

摘要： 其实 eval()是无法用php.ini中的 disable_functions禁止掉的 ：eval是zend的，因此不是PHP_FUNCTION 函数； 如果想禁掉eval可以用php的扩展 Suhosin： 安装Suhosin后在php.ini中load进来Suhosin.so，再加上 suho 阅读全文

摘要： 重点：把LNMP搞熟练（核心是安装配置基本操作） 1.Linux： 基本命令、操作、启动、基本服务配置（包括rpm安装文件，各种服务配置等）； 会写简单的shell脚本和awk/sed 脚本命令等。 基本命令、操作、启动、基本服务配置（包括rpm安装文件，各种服务配置等）； 会写简单的shell脚本 阅读全文

摘要： 添加站点后，tp5报错： 进入网站根目录删除.user.ini文件，此时报 进入到`.user.ini'所在目录，执行一下 lsattr -a，查看文件下下边包含文件的属性，看到`.user.ini'有个'i'属性，代表不得任意更动文件或目录，正是此属性在作祟： 然后执行命令： 就可以去除掉此属性， 阅读全文

摘要： 在另一台服务器使用 MySQL-Front链接时： 解决方法：　在MyＳＱＬ服务器上使用root登录后，执行如下ＳＱＬ语句： mysql 登录命令： >mysql -u root -p; 然后执行如下命令： 1. GRANT ALL PRIVILEGES ON *.* TO 'myuser'@'%' 阅读全文

摘要： 代码： eval("echo'hello world';"); 上边代码等同于下边的代码： echo"hello world"; 在浏览器中都输出：hello world 运用eval()要注意几点： 1.eval函数的参数的字符串末尾一定要有分号，在最后还要另加一个分号（这个分号是php限制） 2 阅读全文

摘要： function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); return $data; } $name = test_input($_P 阅读全文

摘要： 为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动 阅读全文

摘要： XSS定义 XSS, 即为（Cross Site Scripting）, 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的，当渲染DOM树的过程成发生了不在预期内执行的JS代码时，就发生了XSS攻击。 跨站脚本的重点不在‘跨站’上，而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第 阅读全文

摘要： 这几天在搞在线文档预览，网上查了几种方案， 第一种：使用google的在线预览 -> 国内被Q，pass 第二种：使用第三方的，比如:永中dcs -> 要钱，pass 第三种：先转换为pdf，在使用pdf在线预览插件预览 -> 对服务器负担比较大。 第四种：自己写解析库 -> 我这实力，开玩笑呢？ 阅读全文