PHP入门

本文章利用三个文件来简单的讲了一下关于php中怎么去应用中文验证码,中文因为是汉字可能出现乱码所以我们就定义了一个文件来专门处理,有需要的朋友可以参考下.

我们举例只讲linux的系统,但是防止方法在任何系统都是有效的,下面我们先来看看等操作,你可以这样使用,代码如下:

http://www.phprm.com/index.php?page=../etc/passwd 

分享一款比较好的php验证码程序,有需要的朋友参考一下,代码如下:

使用方法:本程序可以直接运行,运行之后即可看到一个图形验证码,每次刷新都随机生成新码.

只要我们作好了各类操作就可在基本防止一些朋友利用网站本身的漏洞进行网站操作了,很多在php中都有的如XSS用 htmlentities()预防XSS攻击还有sql注入可以用mysql_real_escape_string操作等.

开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中，就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换，将给攻击者带来非常大的困难。

以前我也讲过关于php外部发送大量数据包解决方法,那是因为服务器中了phpddos,下面原理也差不多,我们可以查看.

一、【php对外发包问题】

方法一:密码比对

思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对.

本文章介绍了关于利用了php的ase64_encode和urlencode来对字符串进行简单的加密处理,也是比较常用的方法,有需要的同学可参考一下本文章.

base64_decode:将 BASE64 编码字符串解码。

对于sql注入与防注入其实就是一个攻与防的,今天我们要告诉大家最基本的注入和防止方法,原理都是利用了php或mysql的一些特性而我们没注意所造成的.

这是一个考虑比较全面的php和sql结合的防注入程序,在php方便主要对get,post,cooke,files进行了过滤，在sql中我们就对delete,update一些查询命令进行检测过滤.

还记得我之前说的PHP Hash Collisions Ddos漏洞吧? 最初的时候,开发组给出的修复方案,采用的是如果超过max_input_vars,就报错(E_ERROR),继而导致PHP出错结束,而后来,为了更加轻量级的解决这个问题,我们又改善了一下,变成了如果超过max_input_vars,就发出警告(E_WARNING),并且不再往目的数组添加,但是流程继续,然后我们发布了5.3.9.

上周的时候Dmitry突然在5.4发布在即的时候,引入了一个新的配置项:

Added max_input_vars directive to prevent attacks based on hash collision这个预防的攻击,就是”通过调用Hash冲突实现各种语言的拒绝服务攻击漏洞”(multiple implementations denial-of-service via hash algorithm collision).