手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表2024年11月的文章

更改网站默认浏览方式为【列表】模式

Submitted by gouki on 2010, April 17, 10:26 AM

由于我不太习惯写摘要,因此问题就出来了。如果文章很长,图片很多,打开首页就会很慢。
以前我一直自己用COOKIE来解决,现在想想,还是用更换默认浏览方式来彻底解决这个问题吧。

改为【列表】后,我相信浏览速度一定可以上一个台阶吧?呵呵,而且,象我这种发起疯来一天最多可以发好几篇勃客的人来说,列表,岂不是更容易展示我的勃文?

oh yeah

Misc | 评论:9 | 阅读:21703

简单伪造X-Forwarded-For

Submitted by gouki on 2010, April 17, 10:22 AM

说实话,通过代理访问之类的以前都曾关注过,但伪造来源IP还真没注意过。以下的文章内容我没有测试过,仅仅了解一个想法,或许真可以,或许早就不行。但既然有第一次以后就会有第二次。了解入侵途径、方法,在遇到问题的时候岂不更好、更容易多一个技能来解决它?

原文来自:简单伪造X-Forwarded-For

关于伪造X-Forwarded-For的目的我就不多说了。在入侵一个PHP站,GPC为ON的时候,

字符型注入全部歇菜,而在PHP5中,GPC默认是打开的。但是GPC对$_SERVER无任何影响,

因此可以通过伪造$_SERVER来达到注入的目的。

IP.php中有如下代码,主要是获取客户端IP:

PHP代码
  1. <?  
  2. function GetIP() {  
  3. if (getenv("HTTP_CLIENT_IP")){  
  4. echo "getenvHTTP_CLIENT_IP";  
  5. $ip = getenv("HTTP_CLIENT_IP");  
  6. }else if (getenv("HTTP_X_FORWARDED_FOR"))  
  7.    {  
  8. $ip = getenv("HTTP_X_FORWARDED_FOR");  
  9.    echo "getenvHTTP_X_FORWARDED_FOR";  
  10.    echo "<br>you are right";  
  11. }else if (getenv("REMOTE_ADDR")){  
  12. echo "getenvREMOTE_ADDR";  
  13. $ip = getenv("REMOTE_ADDR");  
  14. }else{  
  15. echo "unknow";  
  16. $ip = "Unknown";  
  17. }  
  18. return $ip;  
  19. }  
  20. echo GetIp();  
  21. ?>  
1.直接访问IP.PHP时,返回getenv REMOTE_ADDR127.0.0.1

2.用NC提交:
GET /1.php HTTP/1.1
Accept: */*
Referer: http://localhost/
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
Host: localhost
Connection: Keep-Alive
Cache-Control: no-cache
X-Forwarded-For: 127.0.0.2
Cookie: rtime=0; ltime=1269249140109; cnzz_eid=64110124-1269242429-; language=zh-cn; PHPSESSID=ae9b14609808b4ff4c5811ad1943c529

返回getenvHTTP_X_FORWARDED_FOR127.0.0.2。

伪造X-Forwarded-For成功。

要想提高程序的安全性,不是一个GPC可以解决的,必须提高程序的过滤机制,因为任何的参数提交都是

有害的!

--EOF--

如果上述属实,那就太痛苦了,啥也不能信了。这年头,连X萝卜也靠不住了。

Tags: 入侵

PHP | 评论:0 | 阅读:21784

风雪之隅:ini_set memory_limit在safe_mode下不可用

Submitted by gouki on 2010, April 17, 10:16 AM

这是风雪之隅的文章,主要是我正好也有类似的情况发生,先介绍完他的事件后,我再贴出我问题吧。

原文地址为:ini_set memory_limit在safe_mode下不可用

内容如下:

如果你ini_set(“memory_limit”, *)返回了false,不妨检查下, 是否开启了安全模式(手册中没有述及)..

一句话, 记录下:在安全模式下不能使用ini_set的指令:

XML/HTML代码
  1. 1. max_execution_time  
  2. 2. memory_limit  
  3. 3. child_terminate  

--EOF--

附:上文说的ini_set的问题,可以查看一下手册的Chapter 9. Runtime Configuration之How to change configuration settings。

风雪之隅的这个问题其实很常见,但却不会影响系统运行,无非是设置返回false了而己,但我说的是set_time_limit(),这个函数事实上也不会在safe_mode里运行,而且如果你开启了error_reporting(7)后,系统好象是直接无法访问【单位的网站就因为这个而导致程序出错】,由于我仅仅加了这一行,所以我在这行下面加上exit()后才发现safe_mode下,无法set_time_limit。其实这就是上面所说的ini_set中不能使用的max_execution_time。但问题是set_time_limit会有出错信息,而ini_set仅仅返回false。。这是两个不同的概念。

因此,如果你的服务器开启了safe_mode,你一定要看手册的这一章节:Functions restricted/disabled by safe mode。否则遇到问题,你会很头疼的。有的服务器喜欢在上传后直接把文件改到某个用户组,甚至改UID,如果这样,那move_upload_files就不能使用了。当然这种情况很少见,只是需要注意一下。

还有一些函数,也不再能够被使用。多看看手册,真好。

 

Tags: safe_mode

PHP | 评论:0 | 阅读:18660

访问量带来的意外

Submitted by gouki on 2010, April 16, 10:19 PM

这两天忽然发现自己的勃客流量特别厉害,以为是被黑客入侵了。真的很紧张,打开量子看了一下,直接输入我的域名的达到了400多,这在以前是不可想象的事情。
最后查看了被访页面,才发现,原来访问量最多的还是这个页面:http://www.neatstudio.com/show-1202-1.shtml,嗯,是的,这是我转载的转:一个女软件工程师的征婚PPT。没想到会带来这么高的访问量,出乎我的意料之外。

是呀,做IT的也需要征婚,而且这个PPT看上去也非常用心,难怪虽然转成了图片,还是会带来这么高的流量,吸引大量的人来观看。
我是没有机会了,所以,为了同行,我还是转载了此文,也衷心祝福这位MM早日找到心目中的如意郎君。或许正如她所说的:你爸妈多了个好儿媳妇说傻小子捡到宝了。祝福有缘人早日捡到宝。

Tags: ppt, 女工程师, 征婚

Misc | 评论:0 | 阅读:14245

ctrl+c,ctrl+v随想

Submitted by gouki on 2010, April 16, 3:29 PM

这是以前的故事,我只是用walkerlee的名称复述一下。
--copy from qq--

膘叔walkerlee说:
张总:我在家按了ctrl+c,为什么到单位按ctrl+v没有?walkerlee ,这个,真不行。张总:这个可以有。walkerlee 这个,现在有了。
--end --
这个故事很多人听过,其实现在想想,真可以有。比如,我们现在用的谷哥输入法、搜狗输入法。当我使用这些可以同步数据的输入法时,真是可以ctrl+c的时候被存到服务器,到单位后Ctrl+v显示出来。

云,这玩意被大家所传来传去就成了一台服务器。把所有的东西都扔在上面而己,但怎么做才可以呢?目前你又用了哪些?
let me see see
1、cyber article ,我用了mysql数据库,所以我收集文章的时候,都会自动同步,但事实上我并不喜欢这样,因为cyber article会把整个网页存成一个文件,包括页面里的图片、JS等。太大了
2、wps , wps online ,一些word文件,非重要性文件,我还是这样存储的。。
3、手机通讯录,我是用google的,所以google contacts就自动被同步。
4、一些所谓的书签,如QQ书签、360书签。而我是用firefox的weave自动同步。
5、readitlater,这个功能对我来说比较好,看到一篇好文章,直接设为readitlater后,随时随地可以看,而且还有手机软件。真TMD方便。

所以。。张总这个家里Ctrl+C,单位CTRL+V真的可以有。

Misc | 评论:0 | 阅读:14454

Records:3094«372373374375376377378379380381»