PHP入门

开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中，就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换，将给攻击者带来非常大的困难。

以前我也讲过关于php外部发送大量数据包解决方法,那是因为服务器中了phpddos,下面原理也差不多,我们可以查看.

一、【php对外发包问题】

方法一:密码比对

思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对.

本文章介绍了关于利用了php的ase64_encode和urlencode来对字符串进行简单的加密处理,也是比较常用的方法,有需要的同学可参考一下本文章.

base64_decode:将 BASE64 编码字符串解码。

对于sql注入与防注入其实就是一个攻与防的,今天我们要告诉大家最基本的注入和防止方法,原理都是利用了php或mysql的一些特性而我们没注意所造成的.

这是一个考虑比较全面的php和sql结合的防注入程序,在php方便主要对get,post,cooke,files进行了过滤，在sql中我们就对delete,update一些查询命令进行检测过滤.

还记得我之前说的PHP Hash Collisions Ddos漏洞吧? 最初的时候,开发组给出的修复方案,采用的是如果超过max_input_vars,就报错(E_ERROR),继而导致PHP出错结束,而后来,为了更加轻量级的解决这个问题,我们又改善了一下,变成了如果超过max_input_vars,就发出警告(E_WARNING),并且不再往目的数组添加,但是流程继续,然后我们发布了5.3.9.

上周的时候Dmitry突然在5.4发布在即的时候,引入了一个新的配置项:

Added max_input_vars directive to prevent attacks based on hash collision这个预防的攻击,就是”通过调用Hash冲突实现各种语言的拒绝服务攻击漏洞”(multiple implementations denial-of-service via hash algorithm collision).

大家都知道使用$_REQUEST可以直接省去了判断post,get一些代码,使用起来更简单,但是如果要详细的去想我们会觉得$_REQUEST太可怕了,下面看分析.

我们都知道,处理表单数据,可以使用PHP的$_GET和$_POST这两个超全局变量,具体是哪个由form表单提交时的method指定,除此之外PHP还为我们提供了$_REQUEST数组,但是其不仅包含$_GET和$_POST的所有数据元素,同时其还会包含$_COOKIE这个超全局数组的所有数据元素.

有个前提条件是我们的页面必须是php类型的页面,如果你生成了html静态页面这种方法就不可行了,下面我们来看看php实现禁止IP段访问网站的代码,代码如下:

在很多时间我们php中的很多函数是没有用上的,而且对网站有存在很大的安全问题,下面我们利用PHP.ini 里有个 disable_functions 开关选项来关闭一些不需要使用的函数.

在用php开发项目时很多时间我们模块化的开发,这时就可以可能存在很多安全隐藏了,下面是我总结的一些php 项目代码的安全总结,有需要了解的同学可参考。