不灭的焱

革命尚未成功,同志仍须努力

作者:php-note.com  发布于:2015-03-10 19:17  分类:编程基础/Web安全 

什么是长连接、长轮询?

用通俗易懂的话来说,就是客户端不停的向服务器发送请求以获取最新的数据信息。这里的“不停”其实是有停止的,只是我们人眼无法分辨是否停止,它只是一种快速的停下然后又立即开始连接而已。

作者:php-note.com  发布于:2015-03-08 23:12  分类:编程基础/Web安全 

PHP作为一门强大的脚本语言被越来越多的web应用程序采用,不规范的PHP安全配置可能会带来敏感信息泄漏、SQL注射、远程包含等问题,规范的安全配置可保障最基本的安全环境。下面我们分析几个会引发安全问题的PHP配置,并给出建议的选项。

1、register_globals = Off

PHP在进程启动时,会根据register_globals的设置,判断是否将$_GET、$_POST、$_COOKIE、$_ENV、$_SERVER、$REQUEST等数组变量里的内容自动注册为全局变量。

作者:php-note.com  发布于:2015-03-02 22:25  分类:编程基础/Web安全 

JSONP防御措施:

1、严格安全的实现 CSRF 方式调用 JSON 文件:限制 Referer 、部署一次性 Token 等。
2、严格安装 JSON 格式标准输出 Content-Type 及编码( Content-Type : application/json; charset=utf-8 )。
3、严格过滤 callback 函数名及 JSON 里数据的输出。
4、严格限制对 JSONP 输出 callback 函数名的长度(如防御上面 flash 输出的方法)。
5、其他一些比较“猥琐”的方法:如在 Callback 输出之前加入其他字符(如:/**/、回车换行)这样不影响 JSON 文件加载,又能一定程度预防其他文件格式的输出。还比如 Gmail 早起使用 AJAX 的方式获取 JSON ,听过在输出 JSON 之前加入 while(1) ;这样的代码来防止 JS 远程调用。

作者:php-note.com  发布于:2014-03-10 15:40  分类:编程基础/Web安全 

无状态性

Http是一种无状态性的协议。这是因为此种协议不要求浏览器在每次请求中标明它自己的身份,并且浏览器以及服务器之间并没有保持一个持久性的连接用于多个页面之间的访问。当一个用户访问一个站点的时候,用户的浏览器发送一个http请求到服务器,服务器返回给浏览器一个http响应。其实很简单的一个概念,客户端一个请求,服务器端一个回复,这就是整个基于http协议的通讯过程。

作者:php-note.com  发布于:2013-11-24 21:34  分类:编程基础/Web安全 

从安全角度来讲,在开发应用尤其是web应用的时候,所有用户提交的数据都是不安全的,这是基本原则,所以我们才不厌其烦的又是客户端验证又是服务端验证。要解决$_SERVER[’PHP_SELF’]的安全隐患,主要有以下2种方式: 1、htmlentities 2、REQUEST_URI 

 

作者:php-note.com  发布于:2013-11-07 00:46  分类:编程基础/Web安全 

分享2种PHP的源码加密方式,此加密方法支持任意PHP版。

注意,加密后的PHP代码无需第三方工具解密,像往常一样,直接运行即可。

作者:php-note.com  发布于:2013-09-03 10:23  分类:编程基础/Web安全 

1、网络广告中的CPC是什么意思?什么是CPC广告?

回答:根据点击数付费(Cost-Per-Click),联盟会员按照送到商家即广告主网站上游客的量(通常是点击数)来收取一定的费用。网络联盟营销管理系统可以记录下每个客人在联盟会员网站上点击的广告主广告,并链接到广告主网站的次数,广告主按每个点击多少钱的方式支付给联盟会员广告费。

目前Google Adsense,baidu等就采用此方式。这也是网络广告中最常用的一种方式。

作者:php-note.com  发布于:2013-07-23 09:03  分类:编程基础/Web安全 

本文将对HTTP协议进行详细的实例讲解,内容较多,希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便地捕获HTTP Request和HTTP Response, 关于Fiddler工具的用法,请看另一篇博文[Fiddler 教程]

作者:php-note.com  发布于:2013-07-01 21:13  分类:编程基础/Web安全 

XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来。。。
原文如下:

The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, check out http://ha.ckers.org/xss.html. Another excellent site is the XSS Database which details each attack and how it works.
作者:php-note.com  发布于:2013-05-22 11:20  分类:编程基础/Web安全 

HTTP报文是面向文本的,报文中的每一个字段都是一些ASCII码串,各个字段的长度是不确定的。HTTP有两类报文:请求报文和响应报文。

请求报文

一个HTTP请求报文由请求行(request line)请求头部(header)空行和 请求数据 4个部分组成,下图给出了请求报文的一般格式。