“网上银行”安全吗?
如今,网上银行已越来越深入市民的日常生活,通过网上银行,可以迅速办理查询、汇款、转账、外汇交易、基金买卖等各种金融业务。但网上银行的安全问题也是市民所关心的,目前各银行的网上银行都具备符合标准的安全系统及措施,确保客户权益能得到充分保障。如交通银行的网上银行就采取了许多安全防范措施,其中包括附加码校验,以防止程序测试密码攻击;卡卡转账时必须校验卡号、密码、姓名、身份证号、开卡日期或CVV2码;当密码、姓名、身份证号、开卡日期或CVV2码等任意要素累计输错3次后,都不能再次进行网上银行交易,须到柜面凭本人身份证办理解锁手续等。所以说,网上银行的防范措施是很严密的。
除了银行采取的防范措施外,市民在使用网上银行时,也须注意自身的安全防范,其中包括:
●应熟记开户银行的网上银行网址,如交通银行的网上银行是www.95559.com.cn,不要登陆不熟悉的网上银行,输入自己的银行卡号和密码。
●应妥善保管自己的卡号、密码、身份证件号、开卡日期等资料,不要随手丢弃银行回单。
●不要使用连续数字、电话号码、生日等作为密码,设置的银行密码最好与证券等非银行用密码不同。
●不要在网吧等公共场合使用网上银行。
●在自己的计算机上安装防火墙及防病毒软件,并定期更新病毒库及检测病毒。
●定期更新操作系统和互联网浏览器。
●切勿打开可疑电邮内含的超级链接或附件,切勿浏览可疑网站。
●切勿向任何人透露自己银行卡的密码。谨记,当致电交通银行客户服务热线95559时,如有需要交通银行工作人员会请客户通过电话按键输入查询密码以确认身份。切勿在电话中口头说出您的密码,银行工作人员亦不会通过电话提出此类要求。
●如收到可疑电子邮件或电话要求提供客户资料时,请避免任何操作,并立即通知开户银行,即使该电子邮件或电话看似由银行发出。
●如有疑问,或想举报可疑的电子邮件,请与开户银行的客户服务中心联络,如交通银行的24小时客户服务热线是95559转0。(完)
帝皇侠是谁演的
铠甲勇士之帝皇侠
百科名片
《铠甲勇士之帝皇侠》高清海报在铠甲勇士们的齐心协力封印了暗影黑魔兽后,城市恢复了宁静与幸福,ERP组织也逐渐缩小了规模,由于之前并没有对异能魔兽魔十号成功封印,于是美真(杨亚饰)寻找到了子阳(拥有五个光影村遗传血液),希望在危难出现时,子阳可以阻止魔十号并将其封印,这样地球上的宇宙暗影力量就可以彻底消灭…
中文名: 铠甲勇士之帝皇侠
出品公司: 珠江电影制片有限公司
制片地区: 中国内地
导演: 郑国伟
主演: 唐禹哲 郭帅 袁成杰 陈真希 吴建飞 杨亚 廖晓晨 董文军
类型: 特摄,科幻,3D
片长: 91分钟
上映时间: 2010-01-23
出品人: 蔡东青 周秉毅 林西平
对白语言: 国语
目录
基本信息
帝皇侠电影歌曲主题曲:《命运战士》
插曲:《帝皇再临》
片尾曲:《光荣之征》
剧情介绍
制作介绍
人物介绍
魔兽介绍
绝招介绍
贴吧相册 基本信息
帝皇侠电影歌曲 主题曲:《命运战士》
插曲:《帝皇再临》
片尾曲:《光荣之征》
剧情介绍
制作介绍
人物介绍
魔兽介绍
绝招介绍
贴吧相册
展开 编辑本段基本信息
片名:铠甲勇士之帝皇侠 武术指导:柴原孝典 友情演出:吴建飞 郭帅 李晓峰 陈泽宇 陈泓旭 韩垲衍 等 剧照花絮图图集一(20张) 开机时间:2009-6-6 拍摄地点:大连 拍摄周期:约一个月剧照花絮图图集二(20张) 投资:广东奥飞动漫文化股份有限公司、上海永旭文化传播有限公司 发行:广东省电影公司 主题曲:命运战士 演唱者:袁成杰
编辑本段帝皇侠电影歌曲
主题曲:《命运战士》
演唱者:袁成杰
插曲:《帝皇再临》
词:田辰明 曲:陈宇鹏 编曲:陈宇鹏 DEMO演唱:陈宇鹏 一再延续决一死战的宿命 我还保留那颗不死的雄心 穿越几世光和影 历经战场输或赢 守着救世情结到如今 凭勇气将潜在的力量解封印 等候下一个神话再降临 走遍天下远到近 尝过人世暖又冰 沉睡的记忆即将苏醒 穿上铠甲 踏上战场 百炼成钢 遇强更强 太阳光芒 君临天下 你的拓步 贯我力量 穿上铠甲 重返战场 接着风光 新的辉煌 记忆城墙 岁月篇章 揭开尘封 王者之相 Cut-scenes music 我是涅盘的凤凰 我是自己的帝王 我在黑暗之中破茧重生 燎原成曙光 伤痕是我的勋章 而你是我避风港 等待白鸽飞过铠甲之上 你在战场尽头 为光明高唱 Cut-scenes music 一再延续决一死战的宿命 我还保留那颗不死的雄心 穿越几世光和影 历经战场输或赢 守着救世情结到如今 凭勇气将潜在的力量解封印 等候下一个神话再降临 走遍天下远到近 尝过人世暖又冰 沉睡的记忆即将苏醒 穿上铠甲 踏上战场 百炼成钢 遇强更强 太阳光芒 君临天下 你的拓步 贯我力量 穿上铠甲 重返战场 接着风光 新的辉煌 记忆城墙 岁月篇章 揭开尘封 王者之相 我是涅盘的凤凰 我是自己的帝王 我在黑暗之中破茧重生 燎原成曙光 伤痕是我的勋章 而你是我避风港 等待白鸽飞过铠甲之上 你在战场尽头 为光明高唱 Music *以上为笔者公爵个人见解之歌词 如有错漏请及时修补
片尾曲:《光荣之征》
演唱 陈宇鹏 Burn it人生 照亮了夜空 在宇宙中穿梭 世界被命运 Burn it人生 照亮了夜空 心跳觉醒来过 再一次创造新的传说 Cut-scenes music 汇聚力量向前冲 凯旋归来就像一阵风 身处万物的英雄 主宰幸福的梦 粉碎所有邪恶阴影 召唤铠甲释放正义光明 呼吸和唯一 征服城市 涣散了天空拨开黑色乌云 让世界苏醒恢复往日笑容 自信是征程 最光荣的使命 嘿 这就是英雄 Burn it人生 照亮了夜空 在宇宙中穿梭 世界被命运 Burn it人生 照亮了夜空 心跳觉醒来过 再一次创造新的传说 Cut-scenes music 让世界苏醒恢复往日笑容 自信是征程 最光荣的使命 嘿 这就是英雄 Burn it人生 照亮了夜空 在宇宙中穿梭 世界被命运 Burn it人生 照亮了夜空 心跳觉醒来过 再一次创造新的传说 Ye! Burn it人生 照亮了夜空 在宇宙中穿梭 世界被命运 Burn it人生 照亮了夜空 心跳觉醒来过 再一次创造新的传说 music *以上为笔者公爵个人见解之歌词 如有错漏请及时修补
编辑本段剧情介绍
在铠甲勇士炎龙侠、风鹰侠、黒犀侠、地虎侠、雪獒侠合体为帝皇侠齐心协力封印了暗影黑魔兽后,城市恢复了宁静与幸福,ERP组织也逐渐缩小了规模,由以炘南、北淼为首的五人战斗小组缩编为一个拥有五个光影村后人血统召唤人。由于之前并没有对从铠甲勇士B队手里逃出的异能兽10号进行成功封印,于是美真(杨亚饰)寻找到了子阳(拥有五个光影村遗传血液),希望在危难出现时,子阳可以召唤帝皇铠甲阻止异能兽10号并将其封印,这样地球上的宇宙暗影力量就可以彻底消灭… 黎子阳(唐禹哲饰)和阿介(袁成杰饰)是从小长大的好哥们,两人都是光影村的后人,但是子阳是符合资格的召唤人,阿介却不是战斗体质,这让阿介有一些些遗憾,他们俩一起经营着“幸福一口”餐车的生意,子阳深受小孩和粉领的喜爱,阿介则是小男孩的领袖,带领着专门调皮捣蛋,幸福一口的生意非常好! 自从美真将ERP公事箱(里面有ERP电脑、帝皇腰带,和所有光晶石)交给子阳后,子阳就一直积极准备,子阳相信机会只会给有准备的人!而另一方面子阳和阿介还是维持着经营餐车的正常生活。 宅男巴豆(廖晓晨饰)个性内向孤僻,常常被朋友嘲笑和恶作剧,造成了傻啰有些怨天尤人。由于对电脑有着近乎天才的能力,所以当需要生活费的时候偶尔会充当黑客在网络上破坏放毒,盗卖游戏宝物等等。巴豆还有一个近乎痴迷的崇拜,就是对铠甲勇士的迷恋几乎到了痴狂! 《铠甲勇士之帝皇侠》延续了真人特摄电视剧《铠甲勇士之英雄传奇》的故事,子阳顺利成为了新的终极铠甲——光之帝皇铠甲的召唤人,帝皇侠是之前五行(金、木、水、火、土等五铠甲)铠甲之外的终极铠甲(光之铠甲),由于是新成员,没有实战经验又急于立功的他坚持每天不懈的自我训练,希望有一天可以超越之前两组铠甲勇士团队(以炘南为首的A队和以殿南为首的B队)的英勇成绩。 影片从当时在铠甲勇士B队手中逃脱的最后一只异能兽魔菌兽10号而展开。其实暗影势力一直在寻找机会复活,条件就是找一幅画,还有画主人的一滴血,这幅画里的恶兽就是被封印的万古魔兽,而画主人的一滴血,是唯一可以解除之前的封印的办法!他们要从封魔盒里出来,并召唤画里的恶兽来危害社会。被封印在封魔盒里的暗影五行护法为了报仇和实现毁灭地球的野心,利用贪欲心和仇恨心迷惑了一个容易冲动、涉世未深又自以为是的电脑高手巴豆,并用那只逃脱的异能兽来制造混乱,更改造已被污染的地球生物来制造出不属于地球的可怕魔兽来打击企图阻止破坏的铠甲勇士——帝皇侠。而子阳与阿介的兄弟情更是剧中的另一个重点,剧情充分反映出当下青少年的换帖义气,和为了逞强实现所谓不成熟的承诺而让自己一步一步走向后悔也无法挽回的麻烦。子阳为了帮助阿介追到偶像彤彤(陈真希饰),两人在彼此为对方的退让妥协中都犯下了大错而发生矛盾,结果使得彤弟(刘仲越饰)受重伤,甚至导致召唤帝皇铠甲最重要的召唤腰带严重损坏,所幸在炎龙侠—炘南(吴建飞饰)和风鹰侠—东杉(郭帅饰)的及时战斗支援下,脱离险境。极度愤怒又丧失心智的巴豆最后终于决定于邪恶力量联手,他控制了传输的铠甲能量的卫星,决定将会破坏地球生态致命的化学污染传递到全世界。并释放出最具邪恶战斗力的巨型万古魔兽,面对召唤腰带受损而无法召唤帝皇铠甲,以及传输其他铠甲勇士的卫星已被巴豆控制的子阳,一方面要克服心理障碍,一方面要与恶势力的抗衡。但是,危机已经逐步扩大并且一发不可收拾,帝皇侠要面对的将是一场拯救地球的正义战役。子阳要如何解除地球危机?要如何重新取得兄弟的信任?以及如何能从一个斗士变成一个真正的侠士…
编辑本段制作介绍
电影《铠甲勇士之帝皇侠》是在铠甲勇士52集电视剧于国内、外市场取得辉煌收视成绩的基础下,投资方乘胜追击再加码创作的剧场版英雄系列作品。 根据收视资料显示,铠甲勇士电视剧于国内首次播出时的收视成绩,丝毫不让在市场上已有相当知名度的喜洋洋动画片专美于前,在很多重要城市的收视表现甚至超越该片,证明了国内孩子对于真人超级英雄特摄片的渴望,而这样的成绩,对于铠甲勇士的制作团队来说,无疑是一剂超级强心针,也绝对是促成了此次投拍电影版的主要原因;电影版在制作的投入与规格上,比较电视剧版更为巨大,除了画面、选景的极力考究外,并使用了增加视觉效果的人体近身爆破技术,并更加大的三维动画的投入,相信一定能给国内外观众、尤其是国内庞大的铠甲勇士迷更刺激与震撼的视觉享受。 结合真人演出、精致道具、三维动画与多元特技拍摄的铠甲勇士,从一开始的出发点就是在较高位置的,与目前影视市场上众多的二维、三维动画有着显著的不同,这也是美、日等英雄特摄大国所坚持的制作方式;以片中铠甲勇士的英雄道具为例,一位英雄所需要的模具数量居然达到了上百件,而一副铠甲的造价甚至与顶级进口房车相当,足可见此类英雄片的投资成本。对于英雄片来说,唯有更多的心血与成本的付出,才能诞生出有真实感受的英雄,完成在孩子心中留下永恒的位置的最高目标,毕竟,英雄可不是想当就能当的! 这次的英雄主角除了继续邀请内地年轻偶像袁成杰、好男儿吴建飞、郭帅等人跨刀演出外,也突破电视剧版本中清一色邀请内地演员的现象,制片方此次邀请到台湾地区的年轻偶像唐禹哲来饰演主角—帝皇侠,相信除了更可以证明铠甲勇士走向海外市场的决心,这也对历来国内青少英雄科幻片走不进海外市场的魔咒给予了石破惊天的一击,在这里可以向各位报告一下播出成绩,铠甲勇士电视剧现在已经在韩国、泰国、马来西亚成功掀起了一股收视狂潮,台湾地区也于一个月前开始在当地无线频道的黄金时段播出,而且收视一路攀升,相信很快就会和内地一样,在市场上掀起一股铠甲勇士的热潮;眼见的是事实,在观看这次的剧场版的精彩片花后,我们相信中国制造的英雄片很快的就会在亚洲、乃至全世界市场上掀起一阵巨大热潮!
编辑本段人物介绍
黎子阳(唐禹哲饰)∶帝皇铠甲召唤人 拥有光影五行村人的血统,是光之帝皇铠甲的召唤人。意念坚定。和阿介一起经营着“幸福的一口”餐车的生意。 东杉〔郭帅饰〕:风鹰侠铠甲召唤人
打倒终极影魔后做回了平常人。后来在帝皇侠有危险时,和炎龙侠一起救了帝皇侠并打倒了变种兽,速度很快。
何介(袁成杰饰)∶黎子阳的好朋友、搭档 活泼奔放,爱憎分明。一样是光之帝皇铠甲的传人,但不是战斗资质,这让他有些遗憾。和子阳一起经营着“幸福的一口”餐车的生意。曾经被女记者彤彤误认作帝皇侠。
美真(杨亚饰)∶ERP负责人 打倒终极影魔后继续在ERP做研究,为了防止魔兽魔十号再次出现,把帝皇的腰带交给了子阳。
安彤(陈真希饰)∶电台记者 阿介的偶像,曾经误以为阿介是帝皇侠。
彤弟(刘仲越饰)安彤的弟弟
巴豆(廖晓晨饰)∶电脑高手 经常上网盗卖游戏宝物。帮助封魔盒里的五大护法找到了受污染的动物。被邪魔侵蚀沦为帮凶。最后被警察带走。
大猫(董文军饰)黎子阳的老友,5年前被黎子阳救过。
炘南〔吴建飞饰〕:炎龙侠铠甲召唤人 打倒终极影魔后做回了平常人,非常喜欢弹钢琴。后来在帝皇侠有危险时,和风鹰侠一起救了帝皇侠并打倒了变种兽,攻击和防御都不错,是铠甲勇士的主体。
编辑本段魔兽介绍
魔兽魔十号 影帝创造的超级恶魔兽,在与印铠甲战队决战中漏网逃脱!最后被帝皇侠封印。 变色魔龙兽巨钳魔蝎兽 封印在封魔盒中的暗影五行魔,将邪恶因子输入蜥蜴和蝎子后变异而成。 毒角魔甲兽 封魔盒里的暗影五行魔把邪恶因子输入甲虫体内后变异而成。 蟑螂兽 封魔盒里的暗影五行魔把邪恶因子输入蟑螂体内后变异而成。 远古终极魔蜈兽 暗影五行魔解除封印后,汇聚邪恶力量,召唤远古恶魔变异成的终极怪兽。
编辑本段绝招介绍
五圣必杀 五门必杀 五行必杀 帝皇封魔斩(未出现,但从帝皇穿风刺可断定有) 帝皇穿风刺(由于他手中拿的是极光剑,所以应该用刺的) 帝皇狂瀑扎(未出现,但从帝皇穿风刺可断定有) 帝皇裂地劈(未出现,但从帝皇穿风刺可断定有) 帝皇震雷削(未出现,但从帝皇穿风刺可断定有) 帝皇炮(帝皇驹的绝招,有异能量追踪的功能) 光之帝皇战龙(帝皇驹的进化,不是绝招) 五行之水 帝皇狂瀑 烈火岩土 帝皇熔岩 帝皇木镇 金之肃革 歼灭斩
如何在PHP中阻止SQL注入?
【一、在服务器端配置】
安全,PHP代码编写是一方面,PHP的配置更是非常关键。
我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。
(1) 打开php的安全模式
php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),
同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,
但是默认的php.ini是没有打开安全模式的,我们把它打开:
safe_mode = on
(2) 用户组安全
当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同
组的用户也能够对文件进行访问。
建议设置为:
safe_mode_gid = off
如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要
对文件进行操作的时候。
(3) 安全模式下执行程序主目录
如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:
safe_mode_exec_dir = D:/usr/bin
一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,
然后把需要执行的程序拷贝过去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件,那么就修改一下选项:
safe_mode_include_dir = D:/usr/www/include/
其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。
(5) 控制php脚本能访问的目录
使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问
不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:
open_basedir = D:/usr/www
(6) 关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,
就能够抵制大部分的phpshell了。
(7) 关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。
(8) 关闭注册全局变量
在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
register_globals = Off
当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
那么就要用$_GET['var']来进行获取,这个php程序员要注意。
(9) 打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,
所以一定要小心。php.ini中有一个设置:
magic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为:
magic_quotes_gpc = On
(10) 错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:
display_errors = Off
如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting = E_WARNING E_ERROR
当然,我还是建议关闭错误提示。
(11) 错误日志
建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:
log_errors = On
同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:给文件必须允许apache用户的和组具有写的权限。
MYSQL的降权运行
新建立一个用户比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不属于任何组
如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限
然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。
重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
【二、在PHP代码编写】
虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入,还是建议大家加强中文防止SQL注入的检查。addslashes的问题在于黑客可以用0xbf27来代替单引号,而addslashes只是将0xbf27修改为0xbf5c27,成为一个有效的多字节字符,其中的0xbf5c仍会被看作是单引号,所以addslashes无法成功拦截。
当然addslashes也不是毫无用处,它是用于单字节字符串的处理,多字节字符还是用mysql_real_escape_string吧。
另外对于php手册中get_magic_quotes_gpc的举例:
if (!get_magic_quotes_gpc()) {
$lastname = addslashes($_POST[‘lastname’]);
} else {
$lastname = $_POST[‘lastname’];
}
最好对magic_quotes_gpc已经开放的情况下,还是对$_POST[’lastname’]进行检查一下。
再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别:
mysql_real_escape_string 必须在(PHP 4 = 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ,两者的区别是:mysql_real_escape_string 考虑到连接的
当前字符集,而mysql_escape_string 不考虑。
总结一下:
* addslashes() 是强行加\;
* mysql_real_escape_string() 会判断字符集,但是对PHP版本有要求;
* mysql_escape_string不考虑连接的当前字符集。
-------------------------------------------------------------------------------------------------
在PHP编码的时候,如果考虑到一些比较基本的安全问题,首先一点:
1. 初始化你的变量
为什么这么说呢?我们看下面的代码:
PHP代码
?php
if ($admin)
{
echo '登陆成功!';
include('admin.php');
}
else
{
echo '你不是管理员,无法进行管理!';
}
?
好,我们看上面的代码好像是能正常运行,没有问题,那么加入我提交一个非法的参数过去呢,那么效果会如何呢?比如我们的这个页是http://daybook.diandian.com/login.php,那么我们提交:http://daybook.diandian.com/login.php?admin=1,呵呵,你想一些,我们是不是直接就是管理员了,直接进行管理。
当然,可能我们不会犯这么简单错的错误,那么一些很隐秘的错误也可能导致这个问题,比如phpwind论坛有个漏洞,导致能够直接拿到管理员权限,就是因为有个$skin变量没有初始化,导致了后面一系列问题。那么我们如何避免上面的问题呢?首先,从php.ini入手,把php.ini里面的register_global =off,就是不是所有的注册变量为全局,那么就能避免了。但是,我们不是服务器管理员,只能从代码上改进了,那么我们如何改进上面的代码呢?我们改写如下:
PHP代码
?php
$admin = 0; // 初始化变量
if ($_POST['admin_user'] $_POST['admin_pass'])
{
// 判断提交的管理员用户名和密码是不是对的相应的处理代码
// ...
$admin = 1;
}
else
{
$admin = 0;
}
if ($admin)
{
echo '登陆成功!';
include('admin.php');
}
else
{
echo '你不是管理员,无法进行管理!';
}
?
那么这时候你再提交http://daybook.diandian.com/login.php?admin=1就不好使了,因为我们在一开始就把变量初始化为 $admin = 0 了,那么你就无法通过这个漏洞获取管理员权限。
2. 防止SQL Injection (sql注射)
SQL 注射应该是目前程序危害最大的了,包括最早从asp到php,基本上都是国内这两年流行的技术,基本原理就是通过对提交变量的不过滤形成注入点然后使恶意用户能够提交一些sql查询语句,导致重要数据被窃取、数据丢失或者损坏,或者被入侵到后台管理。
那么我们既然了解了基本的注射入侵的方式,那么我们如何去防范呢?这个就应该我们从代码去入手了。
我们知道Web上提交数据有两种方式,一种是get、一种是post,那么很多常见的sql注射就是从get方式入手的,而且注射的语句里面一定是包含一些sql语句的,因为没有sql语句,那么如何进行,sql语句有四大句:select 、update、delete、insert,那么我们如果在我们提交的数据中进行过滤是不是能够避免这些问题呢?
于是我们使用正则就构建如下函数:
PHP代码
?php
function inject_check($sql_str)
{
return eregi('select|insert|update|delete|'|
function verify_id($id=null)
{
if (!$id) { exit('没有提交参数!'); } // 是否为空判断
elseif (inject_check($id)) { exit('提交的参数非法!'); } // 注射判断
elseif (!is_numeric($id)) { exit('提交的参数非法!'); } // 数字判断
$id = intval($id); // 整型化
return $id;
}
?
呵呵,那么我们就能够进行校验了,于是我们上面的程序代码就变成了下面的:
PHP代码
?php
if (inject_check($_GET['id']))
{
exit('你提交的数据非法,请检查后重新提交!');
}
else
{
$id = verify_id($_GET['id']); // 这里引用了我们的过滤函数,对$id进行过滤
echo '提交的数据合法,请继续!';
}
?
好,问题到这里似乎都解决了,但是我们有没有考虑过post提交的数据,大批量的数据呢?
比如一些字符可能会对数据库造成危害,比如 ' _ ', ' %',这些字符都有特殊意义,那么我们如果进行控制呢?还有一点,就是当我们的php.ini里面的magic_quotes_gpc = off的时候,那么提交的不符合数据库规则的数据都是不会自动在前面加' '的,那么我们要控制这些问题,于是构建如下函数:
PHP代码
?php
function str_check( $str )
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否打开
{
$str = addslashes($str); // 进行过滤
}
$str = str_replace("_", "\_", $str); // 把 '_'过滤掉
$str = str_replace("%", "\%", $str); // 把' % '过滤掉
return $str;
}
?
我们又一次的避免了服务器被沦陷的危险。
最后,再考虑提交一些大批量数据的情况,比如发贴,或者写文章、新闻,我们需要一些函数来帮我们过滤和进行转换,再上面函数的基础上,我们构建如下函数:
PHP代码
?php
function post_check($post)
{
if (!get_magic_quotes_gpc()) // 判断magic_quotes_gpc是否为打开
{
$post = addslashes($post); // 进行magic_quotes_gpc没有打开的情况对提交数据的过滤
}
$post = str_replace("_", "\_", $post); // 把 '_'过滤掉
$post = str_replace("%", "\%", $post); // 把' % '过滤掉
$post = nl2br($post); // 回车转换
$post= htmlspecialchars($post); // html标记转换
return $post;
}
?
呵呵,基本到这里,我们把一些情况都说了一遍,其实我觉得自己讲的东西还很少,至少我才只讲了两方面,再整个安全中是很少的内容了,考虑下一次讲更多,包括php安全配置,apache安全等等,让我们的安全正的是一个整体,作到最安全。
最后在告诉你上面表达的:1. 初始化你的变量 2. 一定记得要过滤你的变量
蔡会是谁
我知道 蔡会是个女孩儿;我并不是知道她,我认识一个人。呵呵 你知道黑客李晓峰吧;他女朋友 羡慕啊 纠结一下
红客晓峰
从来就没有黑客自称是黑客的,当时的lion也只说自己会一点,从不认为自己是黑客
铠甲勇士之帝皇侠雪獒侠,地虎侠,黑犀侠有出现吗
没有,只有炎龙侠、风鹰侠和帝皇侠,就这么三个铠甲勇士,但是有他们的玩具,是个叫巴豆的一个家伙,出现过所有的铠甲勇士,炎龙、雪獒、黑犀、风鹰、地虎,只有玩具,并没有真正现身