and() 和 mt_rand() 产生随机数srand() 和 mt_srand() 播种随机数种子(seed)使用: <?php srand(123);//播种随机数种子 for($i=0; $i<5; $i++){ echo rand()."\n";//产生随机数 } ?> 随机数种子一样,随机数序列则会完全一相同. 所以知道随机数种子后,就能知道所有随机数序列.(随机数种子 => 随机数序列) 知道随机数后,也能推出随机数种子.(随机数 => 随机…

常规的安全问题主要分为以下几大类 一,跨站脚本攻击(XSS) 指的是攻击者向web页面注入恶意的Javascript代码,然后提交给服务器,但是服务器并没有做校验和转义等处理,随即服务器的响应页就被植入了那些恶意的代码. 应用场景: (1)一般都见于客户端的表单信息的提交,例如在表单address一栏,用户输入‘<script>alert('攻击页面')</script>’,提交的时候服务器并没有校验,在新的响应页面,当浏览器解析到script标签的时候,这段代码就会直接运行.以上…

事务 什么是事务? 事务就是一组原子性的SQL查询,或者说是一个独立的工作单元. 事务的作用 事务在我们平常的CRUD(增删改查)操作当中也许不太常用, 但是如果我们有一种需求,一组操作中必须全部成功执行,才算完成任务,只要有一个出错了,那么所有的任务都将回到最初的状况,恢复原样.那么这就需要使用事务了.如: 银行转账,购买飞机票...... 事务的特性 事务具有4个特性(ACID):原子性(Atomicity).一致性(Consistency).隔离性(lsolation).持久性(Durab…

最近一券商那边扫描反馈了下面几个非业务型安全漏洞,要求解决,如下: XSS 自己写个脚本response的时候对特殊字符进行了处理,或者网上搜下一堆(不要忘了回车.换行). HTML form without CSRF protection Cross-site request forgery,即跨站请求伪造,也称为 "One Click Attach" 或者"Session Riding",常缩写成CSRF.是 通过伪装来自受信任用户的请求来利用受信任的网站 .…

web开发中很多东西由前段来负责判断,比如常见的邮箱 电话号码,前端判断到不是一个正确的格式,在你点击提交时候提示你格式填错了,然后不请求后端php,直到你填写正确的格式为止.这种其实可以修改js或者干脆用python里面的requests之类的http请求库直接请求接口,那么可以成功把错误的东西提交给后端进而存储到数据库了,那么这种就不太好了. 如果系统不重要,用的人不多,可以勉强放过这一点. 但有的很重要的系统,尤其涉及到金钱的接口,后端必须也做好验证.否则有人利用漏洞来破坏规则,造成金钱的…

想要做好软件的安全防护,首先就得了解web系统的安全威胁,那么web系统都存在哪些威胁呢? 应用层攻击.网络层攻击和混合攻击. 传统被动.单点以及彼此孤立的防护手段已不能应对越来越严峻的安全威胁. 改被动防御为主动防御,变单点防御为分层防御,变孤立的防御为协同防御. 正是因为日新月异的攻击方法变换不断,而我们的防护技术普遍落后,所以web系统的安全挑战特别大. 我们来深入一下web网站的安全威胁: 1.应用层攻击 (1)网站自身存在的漏洞问题.最直接的说法就是“web网站存在的安全问题本质上是源…

1数字证书登录认证的优点 作为企业信息系统的第一道大门,身份认证是确保企业信息资源只能被合法用户所访问的重要保障. 传统的口令认证方式虽然简单,但是由于其易受到窃听.重放等攻击的安全缺陷,使其已无法满足当前复杂网络环境下的安全认证需求. 传统账号+口令登录的弊端: 1.         口令易被猜测.由于有的用户为了方便记忆,使用非常简单的口令,比如“1234”.“abcd”等这些非常容易被猜测的口令. 2.         口令易被窃听.大家都知道,WEB应用在互联网上是基于TCP/IP协议的…

已招到 工作地点: 深圳 职位类别: 技术类 招聘人数: 1人 工作职责: 负责微信支付h5应用产品的前端开发:负责微信支付营销活动,h5游戏的开发:负责微信支付内部平台的开发与日常维护 工作要求: 本科及以上学历,计算机软件或相关专业,两年以上互联网行业工作经验:熟悉W3C标准网站构建,有构建高性能网站应用相关经验:精通Javascript.OOP及主流JS框架,具备一定的框架设计能力:熟悉各种浏览器平台的特性,能够很好地解决兼容问题:熟悉HTML5,CSS3等新技术,有移动web开发经验:对…

最近发现web api很火,园内也有各种大神已经在研究,本人在asp.net官网上看到一个系列教程,原文地址:http://bitoftech.net/2013/11/25/detailed-tutorial-building-asp-net-web-api-restful-service/.于是打算跟着学一下,把学习过程以及自己的理解记录在博客园的同时也分享给大家. 每一篇结束后我都会把代码共享 由于我也是刚开始入门技术能力有限,有问题大家一起讨论下吧 系列导航 一.使用Entity Fram…

1.web应用程序所采用的防卫机制的几个核心构成:1.处理用户对应用程序的数据和功能的访问,以防止用户未经授权访问.2.处理用户的输入,以防止恶意的输入导致未预期的行为.3.处理攻击,以确保应用程序在被直接攻击时作出恰当的行为,如采取适当的防御和进攻性措施,以挫败攻击.4.通过使管理员能够监控应用程序的活动和配置应用程序的功能来管理应用程序本身. 1.1处理用户访问大多数web应用程序都使用下面的三重相关的安全机制来处理访问:1.验证2.会话管理3.访问控制1.1.1验证验证机制在一个应用程序的…