SS'Blog - SS'Blog

PHP THAT DOESN'T HURT. CODE HAPPY & ENJOY THE FRESH AIR.

HAPPY NEW YEAR !

Laravel
StudyScript.com

如何安全存储秘密

一、我是新手我怕谁    新手程序猿通常会直接存储明文密码在数据库中,好一点的会使用MD5来加密密码后存储md5(password),再好一点的会sha1加密密码后存储sha1(password)。将常用的组合哈希后存入数据库,用来爆库,这个就是所谓的彩虹表。二、加盐salted    在密码中加入 ······
阅读全文

MySQL安全之PDO预处理语句与存储过程

不论是使用addslashes还是mysql_real_escape_string,都可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击!!!!(攻击的原理我就不多说了,感兴趣的同学可以研究下字符编码中单字节和多字节的问题) 注意:第三个mysql_real_escape_string之所 ······
阅读全文

网站安全-跨站请求伪造CSRF 01-解析

冒充用户之手XSS 是实现 CSRF 的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。CSRF 是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 ······
阅读全文

nginx安全的10个技巧

Nginx是当今最流行的Web服务器之一。它为世界上7%的web流量提供服务而且正在以惊人的速度增长。它是个让人惊奇的服务器,我愿意部署它。下面是一个常见安全陷阱和解决方案的列表,它可以辅助来确保你的Nginx部署是安全的。1. 在配置文件中小心使用"if"它是重写模块的一部分,不应该在任何地方使用 ······
阅读全文

php.ini线上推荐配置

display_errors = On; 是否将错误信息作为输出的一部分显示。; 在最终发布的web站点上,强烈建议你关掉这个特性,并使用错误日志代替(参看下面)。; 在最终发布的web站点打开这个特性可能暴露一些安全信息,; 例如你的web服务上的文件路径、数据库规划或别的信息。display_s ······
阅读全文

网站安全-CSRF跨站请求伪造02-实例

攻击test.com站点添加后台管理员账号一、需要:知道该站添加管理员表单页面及表单提交地址。该功能没有token验证。在自己服务器新建页面csrf.html诱使用户访问该页面(csrf.html内是拷贝的test.com站点的增加管理员的表单提交页)。用户(管理员)已经登录或登陆过test.com ······
阅读全文

需要禁用的PHP危险函数

在正式服务器上,为了安全,需要禁用一批函数,以下是需要禁用的函数。phpinfo()功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。危险等级:中passthru()功能描述:允许执行一个外部程序并回显输出,类似于 exec()。危险等级:高exec()功能描述:允许执行一个外部程 ······
阅读全文

高并发 php uniqid 不重复唯一标识符生成方案

PHP uniqid()函数可用于生成不重复的唯一标识符,该函数基于微秒级当前时间戳。在高并发或者间隔时长极短(如循环代码)的情况下,会出现大量重复数据。即使使用了第二个参数,也会重复,最好的方案是结合md5函数来生成唯一ID。PHP uniqid() 生成不重复唯一标识方法一这种方法会产生大量的重 ······
阅读全文

网站安全-XSS

XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS。XSS 对比CSRFXSS 是实现 CSRF 的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XS ······
阅读全文

网站安全—防止SQL注入

php函数addslashes()防sql注入addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (')双引号 (")反斜杠 (\)NULL 将这些预定义字符添加反斜杠转以后才插入数据库或执行数据库查询。简单例子:$test="'123"; ······
阅读全文

PHP安全概述

互联网项目里边,SQL注入漏洞、XSS漏洞和猜测URL攻击这三个漏洞可谓历史悠久,然而直到今天还有人不断中枪,也真是微醺。这几个漏洞说大也大,说小也小。说大是说这些漏洞危害大,会导致数据层面的安全问题;说小是从技术层面上讲都是未对外部输入做处理导致的,想要做针对性地防范很简单。下面简单看看这些漏洞的 ······
阅读全文

网站安全—PHP命令注入攻击

PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。本文描述了常见的PHP命令注入攻击漏洞存在形式和利用方法,结合漏洞实例进行分析和漏洞利用,并针对如何防范PHP命令注入攻击漏洞给出了可行的方法和建议。Comma ······
阅读全文

网站安全—客户端脚本植入

客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。可以被用作脚本植入的HTML标签一般包括以下几种:1、标签标记的javascript和vbscript等页面脚本程序。 ······
阅读全文