易栈网-膘叔

一、拒绝特殊字符

　　问：我对防御跨站脚本攻击（XSS） 很有兴趣。如果我拒绝使用<、 >、脚本——以及容易导致恶意攻击的同等实体参数——这样的字符和词语，那么就会增加应用开发的成本。你会推荐这种“作战”方式吗？

　　答：不，相反，我推荐开发人员在他们的应用代码中只允许适应应用功能所必需的规定字符。这是应用开发的最佳做法。

　　很多企业都把安全代码作为在开发过程的最后才会发生的事情。但是，如果在开发周期的最后阶段测试应用的人说应用需要记录来保证安全性，那么应用就需要重写并重新测试，与之相结合的其他应用也是如此。这种持续的矛盾比在安全开发周期中进行的不断地安全过程成本高得多。

　　如果有一种领域称为“稳定”，例如，就没有理由允许<、>、;、*、--或者:作为可能参数。如果应用开发人员写的代码只允许接受已知的良好参数，就会通过减少质量担保和认证以及信赖测试的成本降低应用开发的整体成本。

二、利用HTTP-only Cookie缓解XSS之痛

以下内容来自51CTO，原文：http://netsecurity.51cto.com/art/200902/111143.htm

　　在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍的是一种用以缓解这种压力的技术，即HTTP-only cookie。

　　我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。

　　1、XSS与HTTP-only Cookie简介

　　跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞，常见于当把用户的输入作为HTML提交时，服务器 端没有进行适当的过滤所致。跨站点脚本攻击可能引起泄漏Web 站点用户的敏感信息。为了降低跨站点脚本攻击的风险，微软公司的Internet Explorer 6 SP1引入了一项新的特性。

　　这个特性是为Cookie提供了一个新属性，用以阻止客户端脚本访问Cookie。

　　像这样具有该属性的cookie被称为HTTP-only cookie。包含在HTTP-only cookie中的任何信息暴露给黑客或者恶意网站的几率将会大大降低。下面是设置HTTP-only cookie的一个报头的示例：

　　Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

　　上面我们介绍了HTTP-only Cookie；下面我们开始向读者介绍跨站点脚本攻击、允许通过脚本访问的cookie所带来的潜在危险以及如何通过HTTP-only来降低跨站点脚本攻击的风险。   

　　跨站点脚本攻击是一种服务器端常见的安全漏洞，它使得黑客可以欺骗用户从而导致用户在某个Web 站点上的敏感信息的泄漏。下面通过一个简单的示例来解释一个跨站点脚本攻击的相关步骤。

　　2、跨站点脚本攻击示例

　　为了解释跨站点脚本攻击是如何被黑客利用的，我们假想了下面的一个例子：

　　A证券公司运行了一个Web 站点，该站点允许您跟踪某股票的最新价格。为了提高用户体验，登录A证券公司的Web 站点之后，你将被重定向到www.azhengquan.com/default.asp?name = < script > evilScript()< / script >张三，并且有一个服务器端脚本生成一个欢迎页面，内容为“欢迎您回来，张三！”。

　　你的股票数据被存放在一个数据库中，并且Web 站点会在你的计算机上放置一个cookie，其中包含了对这个数据库非常重要的数据。每当你访问A证券公司站点时，浏览器都会自动发送该cookie。

　　一个黑客发现A证券公司公司的Web 站点存在一个跨站点脚本攻击缺陷，所以他决定要利用这点来收集你所持股票的名称等敏感信息。黑客会您你发送一封电子邮件，声称您中奖了，并且需要点击某个链接如“点击这里”来领取奖品。注意，该链接将超链接到www.azhengquan.com/default.asp?name=< script >evilScript()< / script > 当您点击这个链接，映入眼帘您的将是“欢迎您回来！”—— 等等，您的姓名哪里去了？事实上，单击电子邮件内的链接之后，你实际上就是在通知A证券公司公司的Web 站点，你的姓名是< script  > evilScript()<  /script >。Web服务器把用这个“名字”生成的HTML返回给你，但是你的浏览器会把这个“名字”作为脚本代码解释，脚本执行后便出现了我们前面看到的一 幕。一般情况下，支持客户端脚本是浏览器的典型功能之一。如果这个脚本命令浏览器向黑客的计算机发回一个cookie，即使这个cookie包含有您的股 票的有关信息，您的浏览器也会老老实实地执行。最后，那些来自A证券公司的Web 站点的指令获取了那个包含敏感信息的cookie。

　　下面是跨站脚本攻击的示意图，它详细的展示了攻击的五个步骤。首先，用户点击了黑客发来的电子邮件中的一个嵌入的链接（第1步）。由于跨站点脚本攻 击缺陷的原因，这样会导致用户的浏览器向Web 站点发送一个请求（第2步）；服务器端根据该请求会生成一个包含恶意脚本的响应，并将其发回给用户的浏览器（第3步）。当用户的机器执行返回的恶意代码时 （第4步），就会将用户的敏感数据发送给黑客的计算机（第5步）。

图1

　　我们可以看到，这个过程只需要用户单击了一个链接，然后就会有指令发送给Web服务器，然后Web服务器生成一个嵌入恶意脚本的网页；浏览器运行这个来自受信任的源的脚本，却致使信息泄漏给黑客的计算机。跨站点脚本攻击有许多不同的形式，这里只是其中的一种。

　　3、用HTTP-only Cookie保护数据

　　为了缓解跨站点脚本攻击带来的信息泄露风险，Internet Explorer 6 SP1为Cookie引入了一个新属性。这个属性规定，不许通过脚本访问cookie。使用HTTP-only Cookie后，Web 站点就能排除cookie中的敏感信息被发送给黑客的计算机或者使用脚本的Web站点的可能性。

　　Cookie通常是作为HTTP 应答头发送给客户端的，下面的例子展示了相应的语法（注意，HttpOnly属性对大小写不敏感）：

　　Set-Cookie: =[; =]
　　[; expires=][; domain=]
　　[; path=][; secure][; HttpOnly]

　　即使应答头中含有HttpOnly属性，当用户浏览有效域中的站点时，这个cookie仍会被自动发送。但是，却不能够在Internet Explorer 6 SP1中使用脚本来访问该cookie，即使起初建立该cookie的那个Web 站点也不例外。这意味着，即使存在跨站点脚本攻击缺陷，并且用户被骗点击了利用该漏洞的链接，Internet Explorer也不会将该cookie发送给任何第三方。这样的话，就保证了信息的安全。
注意，为了降低跨站点脚本攻击带来的损害，通常需要将HTTP-only Cookie和其他技术组合使用。如果单独使用的话，它无法全面抵御跨站点脚本攻击。

　　4、支持HTTP-only Cookie的浏览器

　　如果Web 站点为不支持HTTP-only Cookie的浏览器建立了一个HTTP-only cookie的话，那么该cookie不是被忽略就是被降级为普通的可以通过脚本访问的cookie。这还是会导致信息容易被泄露。

　　对于公司内部网中的web页面，管理员可以要求所有用户都是由支持HTTP-only Cookie的浏览器，这样能保证信息不会由于跨站点脚本攻击缺陷而泄露。

　　对于公共Web 站点，由于需要支持各种各样的浏览器，这时可以考虑使用客户端脚本来确定不同访问者所使用的浏览器的版本。Web 站点可以通过向支持～的浏览器发送敏感信息以减轻跨站点脚本攻击对Cookie的威胁。对于那些使用不支持HTTP-only Cookie的浏览器的访问者，可以限制为其提供的信息或功能，并要求升级他们的软件。

　　当确定Internet Explorer的版本时，重要的是记住Internet Explorer 6 SP1 的用户代理字符串跟Internet Explorer 6的用户代理字符串是一样的。客户端脚本还必须使用navigator对象的appMinorVersion属性检测主版本号，这样才能确定出客户端是否 安装了Internet Explorer 6 SP1。

　　5、小结

　　在Web安全领域，跨站脚本攻击时最为常见的一种攻击形式，也是长久以来的一个老大难问题，而本文将向读者介绍一种用以缓解这种压力的技术，即 HTTP-only cookie。我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释，然后详细说明了如何利用HTTP-only cookie来保护敏感数据，最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。

很久以前就用过PHPRPC，几年没用了，虽然一直在关注着，最近尝试着他来做了一下DZ6.0论坛，把遇到的情况与大家分享一下

首先使用PHPRPC把服务器的一些信息传递给客户端，如cookie的一些设置还有最重要的auth_key，然而即使是这样，我最后也没有同步成功。

经过仔细检查，才发现原来是authcode函数所导致。因为authcode函数里使用了一个全局变量$discuz_auth_key，这个key是在使用common.inc.php的时候根据useragent加上一定的规范而生成的。我在传递的时候把这个变量传回给了客户端，但发现通过PHPRPC生成的key与直接使用浏览器打开生成的KEY不一样。导致最后登录所生成的COOKIE无法decode，最后根据这个生成key的规范，在客户端直接生成好发送给服务端覆盖掉全局变量，使得验证通过。

（写的有点乱，其实就是对于不是从数据库里读出来的全局变量，PHPRPC访问时与直接浏览器访问时所生成的数据不一样）

然后在登录的时候因为DZ还要判断SID，如果有SID了那肯定是无法同步登录（理由和上面一样，两边生成的SID会不一样），于是先清空SID，然后再登录，由服务端生成好SID再传回来，就OK了。。。

由于这次是加载common.inc.php进行处理的，所以很多变量会在系统加载的时候生成，但由于我采用了PHPRPC，在这一步完成后，我会尝试不再加载common.inc.php，这样也可以节约开销（在用户量不大的时候无所谓，但因为每次调用PHPRPC，可能会造成在线用户数加1 这个问题。）

逐步改进，oh yeah

LINUX的关机与WINDOWS不一样，不能象WIN那样强关，如果强关可能会导致一些数据丢失，所以。。。

shutdown
1.作用
shutdown命令的作用是关闭计算机，它的使用权限是超级用户。

2.格式
shutdown [－h][－i][－k][－m][－t]

3.重要参数
－t：在改变到其它运行级别之前，告诉init程序多久以后关机。
－k：并不真正关机，只是送警告信号给每位登录者。
－h：关机后关闭电源。
－c：cancel current process取消目前正在执行的关机程序。所以这个选项当然没有时间参数，但是可以输入一个用来解释的讯息，而这信息把会送到每位使用者。
－F：在重启计算机时强迫fsck。
－time：设定关机前的时间。
－m: 把系统改为单用户模式。
－i：关机时显示系统信息。

4.命令说明
shutdown 命令可以安全地把系统关机。有些用户会使用直接断掉电源的方式来关闭Linux系统，这是十分危险的。因为Linux与Windows不同，其后台运行着 许多进程，所以强制关机可能会导致进程的数据丢失，使系统处于不稳定的状态，甚至在有的系统中会损坏硬件设备（硬盘）。在系统关机前使用 shutdown命令，系统管理员会通知所有登录的用户系统把要关闭，并且login指令会被冻结，即新的用户不能再登录。

也许大家已经看惯了书上说的GBK是对GB2312的扩充，就是说，GB2312字符集中的所有字符都可以在GBK 字符集中找到。(by gashero)可是最近在一次调试Python爬虫的过程中就发现了一些字符的不同。同时大家也应该注意一些网页的默认编码字符集了。

当时正在分析的一个网页的默认编码字符集是GB2312，其中含有一个符号"·"，这个常作为项目符号。在使用 GB2312进行解码时，得到的unicode字符是\u30fb，然后使用系统默认编码GBK进行打印时就提示了编码错误。即字符串"\xa1 \xa4"无法使用GB2312解码为unicode字符后再编码为GBK编码显示。(by gashero)实际测试中只要不会交换编码，那么使用同一种编码进行编码和解码就不会出问题。

后来查找得知，字符\u30fb是一种特殊的unicode字符，是一种不允许显示的字符，所以在GBK编码中就没有它的位置(by gashero)。而字符串"\xa1\xa4"使用GBK解码时得到的是\u00b7。

至此得知，虽然网页的默认编码是GB2312，但是实际上使用的是GBK编码，也使用了一些在GB2312和GBK之间不同的编码字符。所以也就导致了这个错误。

建议以后编程序的时候，遇到默认编码为GB2312的大可以直接使用GBK进行解码为unicode字符串。

明白了，我把所有有关字符集设置的地方都换成:GBK.这时通过FF的FireBug看到的请求参数正常了.问题解决了.

2.都有哪些地方要设置字符集呢?为什么要统一呢?

[原文中作者在此是引用他在csdn中的文字，我将他复制回来了，最后几段代码可看性不强，所以没有贴。。。http://blog.csdn.net/xiaofanku/archive/2008/06/25/2584856.aspx]

最近在学php,由于项目的需要！想在php中用ajax来完成一些体验(减少业务处理的单页压力).发现最近也有一位朋友为此苦恼不已.不废话了！
1.注意几个编码地方
1.1表单所在的网页的:meta
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

1.2XMLHTTPRequest GET的编码
httpRequest.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
此处设置不对!responseText会返回empty(没有内容),如果您有FireFox并装有FireBug组件的话,点击状态栏的绿色箭头打开控件面板(非OS的,FireBug的),选中Console会看到Response选项是:
Illegal mix of collations (gbk_chinese_ci,IMPLICIT) and (latin1_swedish_ci,COERCIBLE) for operation '=
当然如果是连接数据库的话也可能跟下面的(1.4)有关系.

1.3ajax GET请求的页面(.php)header
header("Content-Type:text/html;charset=UTF-8");

1.4数据连接的编码
mysql_query("SET CHARACTER SET UTF8");

如果你的数据库是GBK的或其它的字符集,为了统一编码还要与以上三个统一起来.下面我的示例用的数据库也是GBK,从昨天开始我一起把它设成:
mysql_query("SET CHARACTER SET GBK");
可还是有时发现会返回空(empty 我用的是ResponseText),千万不要写成UTF-8噢,数据库的字符集是没有中间的"-"

2.如果还是返回空或无效的值

例如:a.html中有表单,a用XMLHTTPRequest和b.php通讯.
首先要保证b.php可以正确运行,例b.php?param=value打印出来的是你期望的值
如果a.html打印b.php返回的结果(ajax)与上面的(单独运行b.php)执行结果有出入.可以删除b.php中的空行试试!我想应该不会出现这种情况,但我有几次作demo删除后和删除前确实有出入

一大早pengyuan就和我说了一些用多张图片合并成一个GIF的方案，他使用了我前段时间博客里提到的imagick的组件。

然后把代码贴给我看了一下。
这是他第一次的代码：

然后，他发现图片怎么也没有动，于是有了第二次的代码：

在这样的情况下，他发现GIF图片可以动了。看来保存成功了。

根据他写的代码，我作了一个小小的测试：

代码几乎没变，除了在readImage行下面那个setFormat函数去掉了。同样生成了GIF图片，现在我把问题和解决情况和大家说一下，也希望大家少走点弯路吧

1、在animation里设置好setFormat为gif后，其他地方可以不需要设，因为最终都是通过 $animation->addImage 进入载入图片的，所以载进来肯定是GIF了
2、$animation->setImageDelay( 60 ) ，这个设置帧数的设定只能在每次AddImage后才能设定，否则会报错：没有加载图片时不能设定帧数
3、$animation->writeImages函数，不能使用writeImage，因为是多帧的，它会认为是多张图片
4、至于为什么在使用header设定文件头和echo 输出后图片没有动，我目前怀疑这是浏览器的设定关系，因为，你右键点击生成的图片另存下来时，图片是可以正常的跳动的。

解决完毕。感谢pengyuan的代码