标签归档:原理

文件上传的前世今生

从开始到现在,文件上传其实都是一项正常功能。其最大的好处就是方便了文件类型信息的交互与传递,大大减轻了现代办公压力。但是,它也有一个悖端,那就是,如果是不怀好意的人上传了不应该上传的内容,就会造成结果的不可预料。这样,就衍生成了一个严重的安全威胁。所以,我们要对文件上传内容进行过滤。 先来看一下什么是上传表单 <form action="up.php" enctype="multipart/form-data" method="post">Add File: <input name="file" type="file" value="" /> <input type="submit" value="Submit" /></form>&nbsp; <?php if(isset($_POST)) { foreach($_FILES as $k=>$v) { foreach ($v as $k=>$v) {                   echo ‘<pre>’;   … 继续阅读

发表在 php security | 标签为 , , , , , | 留下评论

会员管理之增删改查

会员管理模块大概包含会员注册,会员列表的显示,会员信息搜索,会员编辑,会员删除,即所谓的增删改查。 首先来看会员注册, 因为我现在使用的thinkphp版本是3.2.3,所以文件命名上也得遵循一下它的规则(比如tp5下,定义控制器命名已经可以不加Controller。)首先到Index控制器同级目录下新建一RegisterController.class.php(注册控制器),然后定义控制器, 导入控制器基础类文件,然后再新建一个index方法一个add方法,index方法里调用注册页,注册页是个form表单,提交地址对应当前控制器下的add方法, 回到控制器,在add方法里通过模型类实例化一个对象,调用->create方法判断如果接收到了表单数据就调用->add方法写入数据库, 如果失败就通过->getError获取具体的错误信息。 到此, 用户注册完成。

发表在 php | 标签为 , , , | 留下评论

用多态思想实现一个资料搜集过程

人可以搜集资料, 机器也可以搜集资料, 共同方法都得启动搜集,进行搜集(搜集中),搜集完成,世界可以使用一个对象,这个对象出现后,可以进行对应的搜集工作。我要先从世界中创建一个搜集任务, 然后再去创建一个人或者一台机器,再然后把人或者机器加入到世界中的信息搜集过程。

发表在 php | 标签为 , , , | 留下评论

web安全防御原理

web安全防御原理 web应用程序的几大防御机制: 1. 处理用户访问应用程序数据和功能,防止用户获得未授权访问。 比如未登录状态下访问, 应该给出什么内容,允许访问哪些区域,没有登录和普通账户登录去访问后台管理页面应该给出什么信息提示,这个就叫处理用户访问应用程序数据和功能,要是非正常的访问我们应该禁止或者给出提醒。

发表在 安全控制 | 标签为 , , , , , | 留下评论