高级教程 MySQL技巧设计模式

代码片段：入口
Yii2.0教程：入口
广告合作联系QQ：1049664527

: MySql 教程

: PHP 教程

: HTML 教程

: CSS 教程

: HTML5教程

: Linux 教程

: JSON 教程

: HTTP 教程

: 设计模式

: Redis 教程

分类：安全

2014
11-07

PHP安全之数据库安全——SQL注入及预防措施

很多web开发者没有注意到SQL查询是可以被篡改的，因而把SQL查询当作可信任的命令。殊不知道，SQL查询可以绕开访问控制，从而绕过身份验证和权限检查。更有甚者，有可能通过SQL查询去运行主机操作系统级的命令。直接SQL命令注入就是攻击者常用的一种创建或修改已有SQL语句的技术，从而达到取得隐藏数据，或覆盖关键的值，甚至执行数据库主机操作系统命令的目的。这是通过应用程序取得用户输入并与静态参数组合成SQL... 继续阅读 >

2014
11-07

PHP安全之数据库安全——设计、连接和加密

设计数据库第一步一般都是创建数据库，除非是使用第三方的数据库服务。当创建一个数据库的时候，会指定一个所有者来执行和新建语句。通常，只有所有者（或超级用户）才有权对数据库中的对象进行任意操作。如果想让其他用户使用，就必须赋予他们权限。应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库，因为这些帐号可以执行任意的操作，比如说修改数据库结构（例如删除一个表）或者清空整个数据库的内容。应该为程... 继续阅读 >

2014
11-07

PHP安全之错误报告

对于PHP的安全性来说错误报告是一把双刃剑。一方面可以提高安全性，另一方面又有害。攻击系统时经常使用的手法就是输入不正确的数据，然后查看错误提示的类型及上下文。这样做有利于攻击者收集服务器的信息以便寻找弱点。比如说，如果一个攻击者知道了一个页面所基于的表单信息，那么他就会尝试修改变量：Example#1用自定义的HTML页面攻击变量<formmethod="post"action="attacktarget?username=badfoo&password... 继续阅读 >

2014
11-07

PHP安全之使用 Register Globals

本特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。可能 PHP 中最具争议的变化就是从 PHP 4.2.0 版开始配置文件中 PHP 指令 register_globals 的默认值从on改为off了。对此选项的依赖是如此普遍以至于很多人根本不知道它的存在而以为 PHP 本来就是这么工作的。本节会解释用这个指令如何写出不安全的代码，但要知道这个指令本身没有不安全的地方，误用才会。当... 继续阅读 >

2014
11-07

PHP安全之用户提交的数据

很多PHP程序所存在的重大弱点并不是PHP语言本身的问题，而是编程者的安全意识不高而导致的。因此，必须时时注意每一段代码可能存在的问题，去发现非正确数据提交时可能造成的影响。Example#1危险的变量用法<?php//从用户目录中删除一个文件，或者……能删除更多的东西？unlink($evil_var);//记录用户的登陆，或者……能否在/etc/passwd添加数据？fwrite($fp,$evil_var);//执行一些普通的命... 继续阅读 >

2014
11-07

PHP安全之魔术引号——什么是魔术引号以及如何使用

注：魔术引号特性已自PHP5.3.0起废弃并将自PHP5.4.0起移除。什么是魔术引号当打开时，所有的 '（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令：magic_quotes_gpc 影响到 HTTP 请求数据（GET，POST和COOKIE）。不能在运行时改变。在 PHP 中默认值为 on。magic_quotes_runtime 如果打开的话，大部份从外部... 继续阅读 >

2014
11-07

PHP安全之隐藏PHP脚本扩展名

一般而言，通过隐藏的手段提高安全性被认为是作用不大的做法。但某些情况下，尽可能的多增加一份安全性都是值得的。一些简单的方法可以帮助隐藏PHP，这样做可以提高攻击者发现系统弱点的难度。在 php.ini 文件里设置expose_php=off，可以减少他们能获得的有用信息。另一个策略就是让web服务器用PHP解析不同扩展名。无论是通过 .htaccess 文件还是Apache的配置文件，都可以设置能误导攻击者的文件扩展名：Exampl... 继续阅读 >

2014
11-07

PHP特点之安全模式1——保安措施和安全模式

PHP的安全模式是为了试图解决共享服务器（shared-server）安全问题而设立的。在结构上，试图在PHP层上解决这个问题是不合理的，但修改web服务器层和操作系统层显得非常不现实。因此许多人，特别是ISP，目前使用安全模式。以下是php.ini中关于安全模式的设置：safe_mode boolean是否启用PHP的安全模式。safe_mode_gid boolean默认情况下，安全模式在打开文件时会做UID比较检查。如果想将其放宽到GID... 继续阅读 >

2014
11-07

PHP数据库抽象层之PDO（三）——事务与自动提交

现在通过PDO连接上了，在开始进行查询前，必须先理解PDO是如何管理事务的。事务支持四大特性（ACID）：原子性（Atomicity）、一致性（Consistency）、隔离性（Isolation）以及持久性（Durability）。通俗地讲，在一个事务中执行的任何操作，即使是分阶段执行的，也能保证安全地应用于数据库，并在提交时不会受到来自其他连接的干扰。事务操作也可以根据请求自动撤销（假设还没有提交），这使得在脚本中处理错误更加容易。事务... 继续阅读 >