[转载]Web安全测试之XSS跨站脚本攻击与预防
XSS全称(Cross Site Scripting) 跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
作为测试开发人员,需要了解XSS的原理,攻击场景,如何修复.才能有效的防止XSS的发生。
阅读目录
XSS 是如何发....
- 3664
- PHP
- 1
- super_dodo
- 2015/11/06
Yii2中如何访问controller的二级目录下的控制器以及访问
Yii2默认的控制器下只有一层目录放在controller目录下,当开发的需要的时候需要在该目录下面新增一层目录也就是在controller下增加二级目录,比如controller/api/MemberController.php,访问的时候直接 /api/member/ 即可。这样方面管理和代码模块化的整洁。
例如需要在默认的controllers目录下面新建一个api的目录,这个时候api里面放置和api相关的控制器。
创建好的目录结....
- 9175
- PHP
- 3
- super_dodo
- 2015/11/05
360通用php安全防护代码
使用方法有如下:
1.将360_safe3.php传到要包含的文件的目录
2.在页面中加入防护,有两种做法,根据情况二选一即可:
a).在所需要防护的页面加入代码
require_once('360_safe3.php');
就可以做到页面防注入、跨站
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php中!
添加require_once('360_safe3.php');来调用本代码
常用php系统添加文件
PHPC....
- 5685
- PHP
- 0
- super_dodo
- 2015/11/05
【专访 PHP 之父】PHP7 性能翻倍关键大揭露
20岁老牌网页程序语言PHP,最快将在10月底释出PHP 7新版,这是十年来的首次大改版,最大特色是在性能上的大突破,能比前一版PHP 5快上一倍,PHP之父Rasmus Lerdorf表示,甚至能比HHVM虚拟机下的PHP程序性能更快。
HHVM是脸书为自家网站特性而量身客制的PHP优化机制,不见得适用任何网站。但Rasmus Lerdorf表示,新版目标之一就是要让任何网站开发者,就连使用开发框架Dru....
- 3684
- PHP
- 3
- super_dodo
- 2015/11/05
PHP通过ajax实现得到省市县区域三级联动的选项组
在一些项目的开发中需要对注册的商家或者用户实现省市县的三级或者更多层级的联动效果。同样也适用于多级分类的效果。下面直接上代码,请各位自行琢磨。。欢迎指正分享建议。。
HTML部分的代码如下:
<select name="Form[province_id]" id="province" class="form-control xx6">
<option value=""&g....
- 5345
- PHP
- 0
- super_dodo
- 2015/11/03
PHP查询一个商品列表实现随机排序的方法
在一些项目实施中(例如商城),例如商品的显示和展示需要进行随机的排序展示,这样对于商品展示多样化,让商城显得灵活多变,下面就是一个简单的示例,直接上代码,对于后续的处理,请各位仁者见仁智者见智。
$where = " status='1' ";
$orderArr = array('1'=>'sort DESC','2'=>'sort ASC','3'=>'total_money DESC','4'=>'total_money ASC','5'=&....
- 4077
- PHP
- 0
- super_dodo
- 2015/11/03
[转]使用PHP的socket写了websocket个聊天室原理
聊天或者交互需要对socket和多线程编程方面进行研究。俗话说不懂裁缝的厨师不是好司机,最快的学习途径是实践。
要理解socket就要先理解http和tcp的区别,简单说就是一个是短链,一个是长链,一个是去服务器拉数据,一个是服务器可以主动推数据。
而socket就是应用层与TCP/IP协议族通信的中间软件抽象层,它是一组接口。在设计模式中,Socket其实就是一个门面模式,它把复....
- 7402
- PHP
- 2
- super_dodo
- 2015/10/29
使用PHP获得客户端IP地址的方法
在一些情形下面需要使用PHP获得客户端的IP地址,以实现开发的需求,下面的方法可以更好的得到客户端的IP。直接贴代码。
//得到客户端的Ip地址
public function getIp(){
$ip = '';
if(getenv("HTTP_CLIENT_IP")){
$ip = getenv("HTTP_CLIENT_IP");
}else if(getenv("HTTP_X_FORWARDED_FOR")){
$ip = getenv("HTTP_X_FOR....
- 3391
- PHP
- 4
- super_dodo
- 2015/10/29
PHP截取字符串的指定长度(兼容中英文)的方法
在对一些新闻简介详情等提取的时候,需要去除文章的HTML标签以及空格等。这样提取或者截取指定长度的字符串来展示。有以下三种方法,请选择性的使用。
//截取字符串的长度 如果长度大于给定的值则增加...
public function _mb_substr($str, $len=10){
$str_len = mb_strlen($str, 'UTF-8'); //此处传入编码,建议使用utf-8
$str = preg_replace("##is","",$str); //去除....
- 4053
- PHP
- 0
- super_dodo
- 2015/10/28
PHP防止或过滤xss攻击的一些方法
其实就是过滤从表单提交来的数据,使用php过滤函数就可以达到很好的目的。现在有很多php开发框架都提供关于防XSS攻击的过滤方法,下面和大家分享一个预防XSS攻击和ajax跨域攻击的函数,主要去除了script等标签,下面直接上代码,不断的增加完善改进中。
//去除xxs的攻击的公共方法
public function clean_xss($string){
$string = trim($string);
$string = strip_ta....
- 8300
- PHP
- 0
- super_dodo
- 2015/10/28
相关阅读
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- Yii2中ElasticSearch的使用示例
- 空格 经过html_entity_decode后在utf8编码下乱码的问题
- PHP中以multipart/form-data上传文件流
热门文章
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- 消息中间件MQ与RabbitMQ面试题
- 如何搭建一个拖垮公司的技术架构?
- Yii2中ElasticSearch的使用示例
最新文章
- 通过Google API客户端访问Google Play帐户报告PHP库
- PHP执行文件的压缩和解压缩方法
- 消息中间件MQ与RabbitMQ面试题
- 如何搭建一个拖垮公司的技术架构?
- Yii2中ElasticSearch的使用示例