本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的. 本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景. 上面提到了时序攻击,什么…

1．防止crsf攻击的最多解决方案就是 为每个请求生成一个唯一 token ,验证来源于客户端 HTML 表单产生的 POST等请求 ． 2．这个token默认放在session中． slim框架源码中生成方式 如下: <?php //生成name和token $name = uniqid($this->prefix); $token = bin2hex(random_bytes($this->strength)); //strength是一个大于16的数字 $_SESSION['crs…

PHP 5.6 1.可以使用表达式定义常量 https://php.net/manual/zh/migration56.new-features.php 在之前的 PHP 版本中,必须使用静态值来定义常量,声明属性以及指定函数参数默认值. 现在你可以使用包括数值.字符串字面量以及其他常量在内的数值表达式来 定义常量.声明属性以及设置函数参数默认值. <?php const ONE = 1; const TWO = ONE * 2; //定义常量时允许使用之前定义的常量进行计算 class C {…

php新增的特性,只是略微整理,并不完全. 一.php5.3添加的新特性 1.?:简化的三元运算符 <?php $cur = $cur ? $cur : 1; $cur = $cur ?: 1; 2.匿名函数 <?php $test = function() { echo 'test'; }; $test(); $arr = array(1, 2, 3, 4, 5); $arr = array_map(function($n) { return $n * 2; }, $arr); print_…

前言 PHP是一种通用的开源脚本语言,它的语法混合了C,Java,以及Perl等优秀语言的语法.除此之外,它还提供了大量的函数库可供开发人员使用.但是,如果使用不当,PHP也会给应用程序带来非常大的安全风险. 在这篇文章中,我们将会对PHP应用程序中经常会出现的一些问题进行深入地分析,尤其是当我们使用“==”(比较运算符)来进行字符串比较时,可能会出现的一些安全问题.虽然近期有很多文章都围绕着这一话题进行过一些探讨,但我决定从“黑盒测试”的角度出发,讨论一下如何利用这个问题来对目标进行渗透和攻击…

PHP 5.6 1.可以使用表达式定义常量 https://php.net/manual/zh/migration56.new-features.php 在之前的 PHP 版本中,必须使用静态值来定义常量,声明属性以及指定函数参数默认值. 现在你可以使用包括数值.字符串字面量以及其他常量在内的数值表达式来 定义常量.声明属性以及设置函数参数默认值 <?php const ONE = 1; const TWO = ONE * 2; //定义常量时允许使用之前定义的常量进行计算 class C {…

简介 PHP在使用双等号(==)判断的时候,不会严格检验传入的变量类型,同时在执行过程中可以将变量自由地进行转换类型.由于弱数据类型的特点,在使用双等号和一些函数时,会造成一定的安全隐患 eg: <?php var_dump("admin"==0); //true var_dump("1admin"==1); //true var_dump("admin1"==1); //false var_dump("admin1"=…

今天我们主要学习的是 PHP 中一些 Hash 散列加密相关的扩展函数的使用,而不是 Hash 算法,这种加密其实也只是一种更复杂一些的密钥算法,与 Hash 算法类似的是,我们输入的一串字符串,就像一个 Hash 表一样有其对应的 Hash 散列值,本质上和普通的数据结构中的 Hash 键值映射是一个道理,只是其算法更复杂一些.其实只要做过一段时间的 PHP 开发,一定会对两个函数很熟悉,它们就是 md5() 和 sha1() .这两个函数就是分别生成 md5 和 sha1 算法的 Hash…

转载来自: http://www.infocool.net/kb/PHP/201607/168683.html a 函数 说明 abs 绝对值 acos 反余弦 acosh 反双曲余弦 addcslashes 以 C 语言风格使用反斜线转义字符串中的字符 addslashes 使用反斜线引用字符串 apache_child_terminate 在本次请求结束后终止 apache 子进程 apache_getenv 获取 Apache subprocess_env 变量 apache_get_mo…

每次要用PHP的某个功能的时候,都要去查一下,于是决定将PHP所有类和函数都整理出来,加上注释 大致实现 将php.jar文件解压,取出目录stubs 将stubs中的所有php文件中的注释去掉,并做格式化处理,放在目录output 将所有文件中类和函数解析出来 从http://php.net/manual/zh/中将类和函数注释解析出来 格式化输出类和函数及所有注释 github地址:https://github.com/chentaihan/phpNote a 0 acos 反余弦 1 ac…