- 跨站攻击,对输入view的变量进行过滤,不要含html内容的用 htmlspecialchars, 需要包含html代码的过滤使用tidy扩展或使用htmlpurifier组件
- 跨站请求伪造攻击(CSRF), 一般使用 session tocken处理,但只能对一般攻击者有效,重要的是做好用户发布验证
- sql注入,过滤参数,或使用mysqli_real_escape_string或类似函数过渡字段值
- session安全,session_id基于cookie存储,针对session_id做更多验证(比如ip, 浏览器特性等)
- 爆力密码破解,在应用层记录连续错误次数,常用登录ip, 设置验证码,非明文密码,回答常设问题等方式处理
- 伪造header信息,比如ip, 过滤header信息, web服务器重置相关header信息
- 重定向攻击,一些用于跳转的url, 比如广告连接跳转 ad_jump.php?url=xxx, 对跳转地址进行合法判断,或加密,或短地址
- 上传漏洞,检查上传权限,进行身份判断,判断文件类型,对上传目录禁止执行动态脚本
月度归档: 2016 年 3 月
wordpress对输出的内容替换
1 2 3 4 5 6 7 8 9 10 11 12 |
function igeekLab_cdn_avatar($avatar) { $buffer = str_replace("http://1.gravatar.com/", "https://1.gravatar.com/", $avatar); return $avatar; } function igeeklab_avatar_start() { ob_start("igeeklab_cdn_avatar"); } function igeeklab_avatar_end() { ob_end_flush(); } add_action('init', 'igeeklab_avatar_start'); add_action('shutdown', 'igeeklab_avatar_end'); |
php优秀扩展记录
runkit
可用于迁移产生的函数改变
https://github.com/zenovich/runkit/
数组这个坑总是记不住
array_merge():
如果输入的数组中有相同的字符串键名,则该键名后面的值将覆盖前一个值。如果数组包含数字键名,后面的值将不会覆盖原来的值,而是附加到后面。(数字键名会被重新分配,总会变成从零开始的。。)
对于使用“+”合并数组:
如果数组中有相同的字符串键名(不管是不是数字),则会把最先出现的值作为最终结果返回,而把后面的数组拥有相同键名的那些值“抛弃”掉。
关于php的yield
- yield的函数,就是一个Generator对象的生成器,调用此类函数,不会立即执行函数体中的代码
- 关于用于多任务处理,
任务(task)是Generator对象的简单包装对象,
任务管理器(Scheduler)对队列中任务分别迭代,直到所有任务被执行完(循环完),
系统调用(SysCall)是一个callback的包装,将当前执行的任务及管理器作为参数,
协程堆栈(StackedCoroutine) 支持任务协程中运行子协程函数,以便对功能做更小粒度的封装。
在任务中执行系统调用,一个callback(Task, Scheduler), 在执行过程中,可将task继续加入到调度器(Scheduler)中,如Scheduler->addTask(task),或是从调度器中删除,即不执行addTask方法, 如有需要之后再从别的Task中将之前的Task加入进来 - 多任务处理在异步io中的应用
12345678function handleClient($socket){// 删除当前任务(函数), 不执行yield后的下一句代码yield waitForRead($socket);// 在其它任务数据准备好后再加入当前任务,以便执行下面代码$data = fread($socket, 8192);//...}
参考 http://www.oschina.net/translate/cooperative-multitasking-using-coroutines-in-php