php安全
文章平均质量分 86
GoverChan
活在当下~
展开
-
防XSS的两个函数
//Remove the exploer'bug XSSfunction RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\...原创 2017-03-26 23:38:01 · 1784 阅读 · 0 评论 -
HTTPS 原理详解
前言HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这...转载 2018-12-13 15:50:58 · 200 阅读 · 0 评论 -
jwt的详细说明
什么是JWTJson web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用...原创 2018-06-15 17:16:21 · 4791 阅读 · 0 评论 -
session挟持原理
XSS危害——session劫持在跨站脚本攻击XSS中简单介绍了XSS的原理及一个利用XSS盗取存在cookie中用户名和密码的小例子,有些同学看了后会说这有什么大不了的,哪里有人会明文往cookie里存用户名和密码。今天我们就介绍一种危害更大的XSS——session劫持。神马是session想明白session劫持及其危害,首先要搞清楚什么是session,熟悉http的同学知道,http是无...原创 2018-03-29 16:25:38 · 643 阅读 · 1 评论 -
php 生成唯一订单号4种方法
php生成唯一订单号的方法第一种$danhao = date('Ymd') . str_pad(mt_rand(1, 99999), 5, '0', STR_PAD_LEFT);第二种$danhao = date('Ymd').substr(implode(NULL, array_map('ord', str_split(substr(uniqid(), 7, 13), 1))), 0, 8);...原创 2017-07-29 17:00:52 · 27579 阅读 · 1 评论 -
api校验原理图解
php的api接口在实际工作中,使用PHP写api接口是经常做的,PHP写好接口后,前台就可以通过链接获取接口提供的数据,而返回的数据一般分为两种情况,xml和json,在这个过程中,服务器并不知道,请求的来源是什么,有可能是别人非法调用我们的接口,获取数据,因此就要使用安全验证。验证原理示意图原理从图中可以看得很清楚,前台想要调用接口,需要使用几个参数生成签名。时间戳:当前时间随机数:随机生成的...原创 2017-05-25 09:37:00 · 1412 阅读 · 0 评论 -
PHP安全
简介当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时,需要特别注意安全问题的考虑,例如开发一个论坛或者是一个购物车等。安全保护一般性要点不相信表单对于一般的Javascript前台验证,由于无法得知用户的行为,例如关闭了浏览器的JavaScript引擎,这样通过POS...原创 2017-03-06 18:06:47 · 295 阅读 · 0 评论 -
php自带过滤函数
php 自带过滤和转义函数 函数名释义介绍htmlspecialchars将与、单双引号、大于和小于号化成HTML格式&转成&amp;"转成&quot;' 转成&#039;<转成&lt;>转成&gt;htmlentities()所有字符都转成HTML格式除上面htmlspecialchars字符外,还包括双字节字符显示成编码等。adds...原创 2016-01-18 14:39:59 · 801 阅读 · 0 评论 -
php防注入函数隐患
看了很多PHP网站在防SQL注入上还在使用addslashes和str_replace,百度一下"PHP防注入"也同样在使用他们,实践发现就连mysql_real_escape_string也有黑客可以绕过的办法,如果你的系统仍在用上面三个方法,那么我的这篇博文就有了意义,以提醒所有后来者绕过这个坑。出于为后人栽树而不是挖坑的考虑,给出PHP以及MYSQL的版本信息,以免将来“问题”不再是“问题”...原创 2016-01-18 15:05:18 · 534 阅读 · 0 评论 -
php过滤函数封装
/*** 安全过滤类-过滤javascript,css,iframes,object等不安全参数 过滤级别高* Controller中使用方法:$this->controller->fliter_script($value)* @param string $value 需要过滤的值* @return string*/function fliter_script($value) {$...原创 2016-01-18 15:13:08 · 516 阅读 · 0 评论 -
CSRF(跨站请求伪造)
2009-04-09 22:44 by hyddd, 116936 阅读, 91 评论, 收藏, 编辑一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以...原创 2016-05-09 11:21:38 · 251 阅读 · 0 评论 -
使用HttpOnly提升Cookie安全性
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象中的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,就需要用...转载 2019-03-29 10:59:53 · 279 阅读 · 0 评论