PHP 远程 DoS 漏洞

4 月 3 日,有人在 PHP 官网提交 PHP 远程 DoS 漏洞(PHP Multipart/form-data remote dos Vulnerability),代号 69364①。 由于该漏洞涉及 PHP 的所有版本,故其影响面较大,一经发布迅速引发多方面关注。14 日,各种 PoC 已经在网络上流传。此次 漏洞具备如下特性: 1. 一旦被利用成功,可以在迅速消耗被攻击主机的 CPU 资源,从而达到 DoS 的目的; 2. PHP 在全球的部署量相当大,为攻击者提供了相当多可以攻击的目标; 3. PHP 官方目前仅给出了 5.4 及 5.5 版本的补丁 受此漏洞影响的软件及系统包括 PHP 的如下版本。

• PHP 5.0.0 – 5.0.5

• PHP 5.1.0 – 5.1.6

• PHP 5.2.0 – 5.2.17

• PHP 5.3.0 – 5.3.29

• PHP 5.4.0 – 5.4.40

• PHP 5.5.0 – 5.5.24

• PHP 5.6.0 – 5.6.8

5月14日 ,PHP官方更新了PHP 5.4.41、PHP 5.5.25和PHP 5.6.9。

请所有使用旧版本PHP的站长朋友尽快进行最新版本的PHP。

如何检查RDNS反向解析记录是否生效

一,反向解析的概念:

RDNS(Reverse DNS)就是反向解析,就是把IP解析成域名。DNS是正向解析,把域名解析成IP。

为什么需要做RDNS?
因为有些应用程序需要反向来认证对方,如SMTP,也就是为什么国外很多SMTP发往国外的邮件被退信的主要原因。做了RDNS会好很多。DNS服务器里有两个区域,即“正向查找区域”和“反向查找区域”,反向查找区域即是这里所说的IP反向解析,它的作用就是通过查询IP地址的PTR记录来得到该IP地址指向的域名,当然,要成功得到域名就必需要有该IP地址的PTR记录.
更多 »

Http请求中Get()和Post()方法的区别

本文先说一下Get()和Post()方法的简单区别:

1.Post传输数据时,不需要在URL中显示出来,而Get方法要在URL中显示。

2.Post传输的数据量大,可以达到2M,而Get方法由于受到URL长度的限制,只能传递大约1024字节。

3.Post顾名思义,就是为了将数据传送到服务器段,Get就是为了从服务器段取得数据.而Get之所以也能传送数据,只是用来设计告诉服务器,你到底需要什么样的数据.Post的信息作为http请求的内容,而Get是在Http头部传输的。

未完待续。。。

MD5加密算法中的盐值(SALT)

我们知道,如果直接对密码进行散列,那么黑客可以对通过获得这个密码散列值,然后通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。

加Salt可以一定程度上解决这一问题。所谓加Salt方法,就是加点“佐料”。其基本想法是这样的:当用户首次提供密码时(通常是注册时),由系统自动往这个密码里撒一些“佐料”,然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“佐料”,然后散列,再比较散列值,已确定密码是否正确。

这里的“佐料”被称作“Salt值”,这个值是由系统随机生成的(例如用当前系统的时间),并且只有系统知道。这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己的密码和自己生成的散列值来找具有特定密码的用户,但这个几率太小了(密码和salt值都得和黑客使用的一样才行)。

PHP加密函数实例:

md5($pass.$salt);

更多 »

如何为网站嵌入微博代码

一、微博相关功能实现

众所周知,中国的两大微博是新浪微博和腾讯微博,有越来越多的人成为“微博控”。自然,微博用户有这么多,如何让别人快速的收听自己以及向别人展示自己的微博内容是很重要的,这能帮你赢得微博人气。

闲话少说~~咱们先从新浪微博开始~~

1.首先进入新浪微博开放平台的网站接入(http://open.weibo.com/connect),登入你的新浪微博账号,选择你需要的网站合作模式。在这里我们选择微博组件。

2.打开微博组建链接后会有几种微博组建供选择,这里介绍两种:关注按钮和微博秀。

(1)关注按钮:

点击关注按钮,输入你要关注微博账号的名称,即你的微博账号名字(注意:此时一定要删掉原有的文字重新输入一遍,当点击下方的几组单选按钮时右边的效果预览窗口显示出“你自己”,就代表你输入正确),调整下方的选项,然后复制IFRAME的代码。

(2)微博秀:

更多 »

微博为网站带来用户和流量

2011年社会化媒体优化(Social media optimization (SMO))已成为继搜索引擎优化后下一个被站长及网络营销人关注的热点。随着社会化媒体的深入人心,搜索引擎已不再是网站流量的唯一来源。

Facebook+Twitter带来的流量超过了谷歌

曾几何时,将网站页面优化到搜索引擎第一页以获得大量流量是所有站长的目标。但是最近,情况有所变化,根据COMPETE公司提供一篇调查报告显示,在很多主流网站“社会化分享流量”已经超过“搜索引擎流量”,成为各大网站的流量主要来源。

一键转播:社会化分享产生的巨大能量

Facebook+Twitter带来的流量超过了谷歌的原因,简单说就是:沟通的需求击败了搜索。社会化分享的本质也不外乎为:我和我的朋友们推荐。这其中,因为信任,朋友的推荐就变得更加重要。

就以很多网站都添加有的“一键转播”按钮为例来说好了:

更多 »

禁止所有搜索引擎访问网站的任何部分

最简单的方法就是在网站根目录新建一个robots.txt文件,内容如下:

User-agent: * 
Disallow: /

不少网站程序都自带了robots.txt文件,对网站的一些重要信息是禁止收录的。上面提供的方法是禁止所有搜索引擎访问网站的任何部分,即搜索引擎是不会收录该网站。这种做法主要针对一些纯目录列表的下载站,因为他们没有网页信息,收录只会让搜索引擎读取下载文件,造成服务器负担过重,也损失网站流量。

一般网站请勿随便使用上述方法,请保存默认的robots.txt文件即可。如需再重新自定义收录内容,可以略微修改一下规则。

全新安装Discuz论坛无法登录后台的解决方法

新安装Discuzx2.5论坛,居然无法登录后台。网上搜索了一下相关问题,发现是IP认证的问题。网站支持IPv6的要特别注意了,IP认证可能会导致你无法登录discuz后台。解决方法如下:

取消后台登录的ip认证

在 config/config_global.php 中找到 $_config['admincp']['checkip'] = 1 ,将“1”修改为“0”即可取消ip认证。

$_config['admincp']['checkip'] = 0;

这样处理后,登录网站后台就不用不验证IP了。 这种情况能解决本地是动态IP或者是IPv6访问无法登录discuz后台的问题。

WordPress忘记密码的几种解决方法

1.WordPress内置的找加密码方法

如果你的admin帐户的电子邮件地址是正确的,那就根据普通的找回密码步骤,在Wordpress的登录页点击”忘记密码?” 然后输入admin或电子邮箱地址。 接着,你会收到密码重启邮件,点击里面的重启链接。 稍后你又会收到一封包含用户名和密码的邮件。(如果提示key无效,即你的链接有错误,把末尾为你的用户名的链接复制到浏览器运行即可。)

这跟所有的Wordpress用户找回密码的步聚都是一样。 我们下面介绍的另外几种简单的方法,是指你有可能没有修改admin帐户的电子邮箱,你也就无法接受密码。

2.通过执行Mysql语句修改Wordpress密码

使用Phpmyadmin之类的工具,登录你的数据库管理,执行如下语句:

更多 »

WordPress用户密码算法规则

WordPress系统的用户密码是保存在wp_users数据表的user_pass字段,密码是通过Portable PHP password hashing framework类产生的,密码的形式是随机且不可逆同一个明文的密码在不同时间,产生的密文也不一样,相对来说较为安全。

WordPress用户密码产生的过程是,当需要生成用户密码的时候,随机产生了一个salt,然后将salt和password相加,又进行了count次md5,最后和encode64的hash数值累加,就得到了一个以$P$开头的密码,这个密码每次产生的结果都不一样,下面就是产生WordPress密码的代码,将其放在WordPress根目录下,就可以生成一个加密的password,用这个密码替换掉wp_users数据表的user_pass字段即可修改密码。

更多 »

Copyright © All Rights Reserved · 菁菁博客 Since 2012 · Proudly powered by WordPress