如何判断PHP源码是否存在SQL注入漏洞?
判断是否存在SQL注入首先找到可能的注入点;比如常见的get,post,甚至cookie,传递参数到PHP,然后参数被拼接到SQL中,如果后端接收参数后没有进行验证过滤,就很可能会出现注入。比如xxx.com?id=321,id就很可能是注入点。
说白了就是不要相信用户输入,对用户可控的参数进行严格校验。注意是严格校验!简单的去空格,或者是特殊字符替换很容易绕过。
如果已经有原码,可以进行代码审计,进行逐一排查。也可以搭建本地环境使用类似于sqlmap这样的自动化工具进行可以链接的检测。
个人理解仅供参考,如有偏颇望批评指正!
如何检测php5中的gd2是否运作正常?
可以测试一下GD2库中的函数是否能正常使用
如:配色函数 imagecolorallocatealpha
GD 图像函数 imagecreatetruecolor
等
上面函数需要 GD 2.0.1 或更高版本(推荐 2.0.28 及更高版本)。
php上传文件用什么mimetype?
1、判断上传文件的扩展名和mimetype,还可以扫描 <?php 、 eval 之类的特征串。但这只是被动防御的方法。
2、上传的文件不要保存为原名,要保存为对方猜不到的文件名(如文件加盐hash或随机字符串+文件hash,不带扩展名),和原名一起保存在数据库里。
3、上传的文件要保存在Web服务器的http不能访问到,但PHP可以读出来的路径,或者干脆保存在内网另一台服务器上,而下载/使用的时候单独用一个PHP来读,向浏览器返回真实文件名(这样要支持分块下载就有点麻烦了)。同时要保证这个PHP、机器上php版本没有可以利用文件操作来执行任意代码的漏洞。
值得推荐的开源PHP、CMS系统有哪些?
CMS系统基本上也就等于PHP CMS了,主流的CMS系统基本上全都是PHP开发的,WordPress作为第一大开源CMS系统,基本上是这个领域的绝对王者,今天我给大家推荐一下到底有哪些出色的CMS系统。
WordPress是这个领域的绝对王者
一个搜索引擎如果不能很好判断分析一个WordPress站点,你可以认为这个搜索引擎做得不合格。在SEO领域、以及个人站长、个人博客,基本上都会选择WordPress作为第一选择,这基本上已经是行业的共识。TechCrunch、白宫官网、LinkedIn博客、Facebook新闻中心、微软新闻中心等众多知名网站,都是用WordPress搭建的。
免费、开源,这基本上是大家选择WordPress的主要理由,全球排名前1000万的网站有超过33.4%是基于WordPress搭建的,都是基于WordPress搭建的,基本上WordPress就是这个领域的标准,很多大企业也用WordPress建站。
免费、开源,这是WordPress最大的优势,开源保证了极大的可扩展性,WordPress有着非常的插件库、主题库,而且WordPress对于开发者是非常友好的,要做二次开发非常好。WordPress的论坛和文档也非常方便,基本上有问题这里都能找到。
我最喜欢的WeCenter,以及同样简洁的Typecho、Tipask
WeCenter的确是我个人最喜欢的CMS,也是我自己真正去搭建、研究了的第二个开源CMS系统了,WeCenter是一个仿知乎的开源问答系统,PC端更像一个信息流问答网站,功能上极其简洁,非常适合用来做垂直问答社区。
喜欢的原因就是简洁,真的是非常简洁,界面一看上去就非常清爽,假设你需要的功能不是特别复杂,又需要一个比较完整的后台,那么我觉得WeCenter非常适合你。而且作为一个有用户中心的全功能CMS系统,用来学习研究也是比较不错的。
Typecho是一个比较新的开源系统,很多极客选择这样的,这个系统也已经比非常成熟了,我看到很多开发者和学生党,也都在用这个系统,这个系统同样非常轻量级,用起来非常方便,而且也有丰富的参考文档。
Tipask也是一个非常好的开源问答社区,这玩意儿最大的优势就是跟宝塔Linux面板搭配得非常好,这个也是一个比较大的优势,毕竟有很多人用这个东西,你可以非常方便地通过宝塔Linux面板平滑升级。
在腾讯手里成功死而复生的Discuz!
Discuz!也是论坛领域的扛把子,曾经也是开源界最好的论坛系统之一,也是到目前为止,国内开发的最好的开源CMS,这个系统是戴志康带领团队开发的,被腾讯收购之后进入腾讯,这个项目一度被搁置了。
直到后来腾讯云重新接管这个系统,同样是因为开发系统被腾讯收购的吴洪声接管了Discuz!,这个项目重新被腾讯重视,终于迎来了回归,目前Discuz!全新版本Discuz! Q已经接近要发布了,这可是论坛系统的王者,希望Discuz!能够在腾讯手里重新焕发荣光。
政府网站领域占据着极大份额的帝国CMS,虽然技术老确实很多政府部门的第一选择,开源考试系统PHPEMS,开源博客系统Z-Blog PHP,以及同样政企领域占据极大份额的PageAdmin CMS,还有非常前卫和现代化的Ghost,都是非常出色的开源系统。开源系统能够降低成本,而且随着这些系统越来越成熟,你需要的功能,可以有的扩展都会越来越多,假设你是开发者的话,你还能学习一下。