2021年10月25日的文章

pren 发布于 2021-10-25

单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。 加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会...

阅读(807)评论(0)赞 (0)标签：HASH加密

pren 发布于 2021-10-25

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。 目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单...

阅读(355)评论(0)赞 (0)标签：XSS攻击

pren 发布于 2021-10-25

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。 XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来...

阅读(309)评论(0)赞 (0)标签：XSS攻击

pren 发布于 2021-10-25

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子： $sql = "select * from pinfo where product = '$product'"; 此时如果用户输入的$product参数为： ...

阅读(436)评论(0)赞 (0)标签：sql注入

pren 发布于 2021-10-25

不相信表单 对于一般的Javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入 不相信用户 要假设你的网站接收的每一条数...

阅读(255)评论(0)赞 (0)标签：网站安全

pren 发布于 2021-10-25

首先说一下问题的出处：公司某个项目组有一个需求，获取所有关注人的文章列表。乍一看，感觉貌似挺简单，那就获取吧，通过uid获取所有关注人的uid数据集合，然后通过对应的uid，获取文章id不就可以了吗。可是细想，不对。一个人可以关注N个人，N可能是100，也可能是1000，关注的人...

阅读(446)评论(0)赞 (0)标签：朋友圈

pren 发布于 2021-10-25

手机上查看图片的时候，会出现图片倒过来的情况，对用户体验超级不好。所以我们需要根据图片的需要，对图片进行旋转的操作。以下代码，是个小demo，在使用的时候，要确定php环境是否开启exif扩展，以下代码需要依赖exif扩展。 /** * @todo 图片旋转 * @author ...

阅读(850)评论(0)赞 (0)