- 博客(15)
- 收藏
- 关注
RSS订阅原创 yii防sql注入
sql注入就是通过sql语句拼接的一种攻击方式,通常都是以这样的形式出现那么yii框架中是怎么防护的呢附加:防sql一般也用到过这个函数:addslashes来转义接收字符...
2018-07-24 15:07:14
1088
原创 yii防护csrf攻击
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因...
2018-07-23 14:45:50
910
原创 xss攻击之新浪微博xss蠕虫
xss蠕虫:通过一个bug,感染其他结构都出现问题我们根据一段xss攻击链接来看一下:很显然,javascript代码被解析了,那它原型是什么呢,怎么看 通过这样我们可以看出,这段javascript代码是指向一个js文件,js文件中写的是一些文章标题链接,而这段链接也是携带这段javascript代码,这样当有人点击了这段链接,就又执行这个xss攻击操作了,这样一传十,十传百...
2018-07-21 14:31:04
2609
2
原创 xss攻击---非法转账
xss攻击实现自动转账,都需要哪些代码呢,实际上,代码并不多那具体是怎么做的呢1. 反射型xss攻击:通过给别人发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接才能引起但是,在浏览器中添加这一段javascript代码时,却没有起作用,原来是因为浏览器已做了防护措施,不会解析这...
2018-07-20 16:42:38
542
原创 yii2 yii\base\InvalidRouteException: Unable to resolve the request: site/error
在用yii2写一个新模块的时候,遇到了这样的错误:An Error occurred while handling another error:exception 'yii\base\InvalidRouteException' with message 'Unable to resolve the request "site/error".' in D:\mdc\YII\vendor\y...
2018-07-19 17:26:25
7441
原创 yii事件机制之绑定式
事件机制一共分为两种:扫码式和绑定式,yii中主要用的是绑定式,而绑定式又涉及两个方法:trigger()和on()1. trigger() : 事件通过调用 yii\base\Component::trigger() 方法触发,此方法须传递事件名, 还可以传递一个事件对象,用来传递参数到事件处理器。2. on() : 有时想要一个类的所有实例而不是一个指定的实例都响应一个被触发的事件, ...
2018-07-19 11:22:39
593
原创 yii2 多模块创建
在一个项目中,由于业务不同,会划分出多个模块,像商城类,一般分为:首页,购物车,个人中心等,但是yii中默认的控制器和models都是在根目录中,若把所有的控制器方法都放在同一个文件夹下,当用的时候就会很乱,那么,怎么才能把这些分模块使用呢???1.访问yii中gii工具,找到模块创建这个小工具 2. 那么,准备工作完成了,我们该怎么调用新创建的这个模块呢 1)通过最外层控...
2018-07-18 17:10:46
2206
原创 xss攻击之盗取账号
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种用javascript脚本写的攻击方式一般测试,我们会在运行的一段代码中写入一段javascript代码,在程序运行的的时候它会显示出来:<?phppublic function index(){ $str = "<sctipt>alert('aa')<script>"; ...
2018-07-17 17:42:20
5141
原创 phpstorm配置xdebug
在学习一个新的框架,里面有很多内置函数,封装类库等,为了了解其代码运行流程,就配置了xdebug1.下载PHP xdebug软件( xdebug配置文件 ),把下载好的文件放到你相应php版本的ext文件夹下:(PHPX\PHP70\ext)2.修改phpini文件中部分配置:zend_extension ="D:\wnmp\PHPX\PHP70\ext\php_xdebug.dl...
2018-07-16 18:12:10
203
原创 yii2 http缓存
对于缓存,我画了一张图,不太形象,只作为辅助yii:一.浏览器第一次访问服务器,服务器返回数据,浏览器在本地把此数据缓存在本地当访问index控制器,调用缓存到浏览器中,浏览器中这个字段体现,当出现这个字段,表示告诉浏览器将数据缓存起来二.这时候,一个管理员把这条内容改了,过了一会儿,他又感觉不好,又改了回来,但是呢,服务器上文件保存时间变化了,和浏览器缓存数据不一样了(last_modifile...
2018-07-14 18:38:49
688
原创 yii2视图防xss攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting)XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。在控制器层用户输入了一个javascript代码,若未做处理,则会直接以javascript方式输出,这样就存在安全隐患我们可以在视图层这样过滤此代码攻击:那浏览器输出格式是怎...
2018-07-12 16:26:37
715
原创 yii2 http响应头小方法
$res = \YII::app->respons; //响应头部类文件$res->statusCode='404'; //设置状态码$res->header->add('pragma','no-cache'); //浏览器缓存,不把消息缓存在浏览器中$res->header->set('pragma','max-age=5'); //修改头部信息$...
2018-07-12 15:55:24
2412
原创 返回json数据时遇到的问题
三、实际项目中,我们在开发 API 应该注意的几个事项(仅供参考):1、接口安全,一定要增加接口验证。例如,客户端和服务端针对不同接口统一做好加密方式,服务端在对于每次接口需要都要进行验证。以保证防止接口被恶意刷新或黑客恶意调用,尤其是大型商业应用。2、对于线上的 API 必须保证所有接口正常且关闭所有的错误信息 => error_reporting(0),在输出JSON 时,不能有任何其它...
2018-07-06 17:21:49
3084
原创 PHP微信支付----xxe攻击
这两天,微信支付有bug的消息迅速传播,那这个到底是什么导致的呢:微信支付后回调通知的xml文件中,被人恶意添加数据,导致返回信息不准确,微信有官方文档说明:点击打开链接我们项目用的是PHP作为开发语言,接到领导通知要我看看我们的项目有没有受影响,可是,这个支付功能是很久以前就写好的,而我才来不久,也没接触过微信支付的功能,心中已泪千行, 不知从何下手于是,就疯狂找资料,了解到,微信官方提出的解决...
2018-07-05 17:54:26
1414
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人