Submitted by gouki on 2008, December 19, 8:29 PM
Tags: html, 特性, 表单, api
Software | 评论:0
| 阅读:20140
Submitted by gouki on 2008, December 19, 8:17 PM
原文来自:http://www.phpv.net/html/1653.html
作者是:扶凯
内容如下:
注意,经测试,本情况发生在少量配置有问题的服务器上.一般正式版apache无此问题.
一般的网站都会开放rar附件上传,并可能会保留原来文件名称,这从而可能导致一个很严重的问题,xxx.php.rar文件会被Apache当作php文件来执行, 造成极大的安全隐患 .
如何测试? 将你的某个php程序文件后缀名修改成 xxx.php.rar , 这时测试一下, 还是按照PHP文件解析执行,Apache并不会认为这是一个rar文件, 这是为什么呢?
原 来,每遇到一种后双重后缀名(如xxx.php.rar)的文件,Apache都会去conf/mime.types 文件中检查最后一个后缀, 如果最后一个后缀并没有在mime.types文件中定义, 则使用前一个后缀来解释 , 因为在默认情况下,rar并未在mime.types中定义, 故Apache会使用php后缀来解释文件, 这就是漏洞的原因所在.
由此类推,如果使用xxx.jsp.ppp.rar 则会认为是jsp文件, 如果修改成xxx.shtml.rar ,则会识别成shtml文件.
a.php.c.d.e.rar 也是会被当成PHP文件解释的!
想想,不知道有多少网站存在这个问题?
那么针对网络管理员,如何杜绝这个隐患 ?
1.修改mime.types文件,在最后面加一条:
application/rar rar
然后重新启动Apache,即可.
针对WEB管理员及WEB程序开发者,如何更安全?
1.只允许上传指定后缀名的文件,当然,要禁止掉rar格式文件上传.(但这条往往行不通,一般的网站都需要上传rar文件)
2.对上传后的文件进行强制重命名, 强制使用最后一个扩展名,如原始文件名为xxx.php.rar ,上传后强制重命名为 20080912.rar即可避免这个隐患.
早期版本的phpcms 2007, discuz, ecshop都存在这个漏洞, 或许你的网站被挂马,就是因此引起.
上面的文章是转的,我测试了一下,还真这样,不过修改mime.types是没有用的.
需要在http.conf中加入下面这些内容
AddType application/rar .rar
AddType application/x-compressed .rar
AddType application/x-rar .rar
AddType application/x-rar-compressed .rar
AddType application/x-rar-compressed; application/x-compressed .rar
AddType compressed/rar; application/x-rar-compressed .rar
这样就不会出问题了,测试过了,加我上面这些是没有问题的。
听闻有这样的漏洞,不管怎么样,都放上来,与大家一起分享一下,同时也请你自己检测一下自己的apache,如果你用的虚拟主机有这样的漏洞,那么也尽早通知他们一声,与人方便与己方便。
我自己没有测试过,所以不知道是否存在这个漏洞。
Tags: apache, mimetype, rar, php, bug
Linux | 评论:0
| 阅读:24552
Submitted by gouki on 2008, December 19, 3:42 PM
占领天涯 ,必将成为我是交通部派来的之后的关键字
如果不知道原因请搜索google。
百度的话我不抱希望
本年几个关键字:打酱油,交通部,俯卧撑,国家罗汉
现在又多了:占领天涯
Tags: 占领天涯, 卡门, 西电, 交通部, 打酱油
Misc | 评论:1
| 阅读:18303
Submitted by gouki on 2008, December 19, 9:53 AM
单位有个同事,名字中有个“仇”字,因为不是姓,所以我就把它读成了“chou”,可是在看他的email地址的时候,发现它的读音为“qiu”,所以很奇怪的翻了一下金山词霸,发现网上有一个BLOG里面有介绍,不敢独享。
这是郭灿金先生的博客中的内容:
http://blog.sina.com.cn/s/blog_4928cce1010086cy.html
- 中国人最易误读的10个姓氏
-
-
-
- 现在我们已经习惯于说“按姓氏笔画为准”之类的话了,在大多数人心目里,姓氏是一回事。其实,在古代,姓和氏之间有着较大的差异。
-
- “姓”、“氏”的起源很早。许慎在《说文解字》中这样解释:“姓,人所生也,从女、生,生亦声”。所以,“姓”的本义是“生”,本来是代表有共同血缘、血统、血族关系的族号。“氏”可以说是“姓”的分支。“氏”冠在男人的名前,表露着一个男人的封地、爵位、官职、以及追谥,代表了男人的荣耀、功业和尊严。譬如武王的四弟叔旦,由于其采邑为周,被称为周公。其实,周公为姬姓,周只是他的氏而已。
-
- 氏集中产生于周朝。周朝初年,为控制被征服的广大地区,大规模地分封诸侯。而这些诸侯国的后人即以封国名为氏。另外,各诸侯国又以同样的方式对国内的卿大夫进行分封,大夫的后人又以受封国的名称为氏。以后,各种形式的氏的来源又不断出现,并且氏的数量远远超过了姓的数量。但是只有贵族才有氏,贫贱者有名无氏,氏成为贵族独有的标志。至于贵族妇女,则无论怎么称呼都必须带上姓,这反映了中国古代封建宗法制度的权威性和严谨性。
-
- “姓”是从居住的村落,或者所属的部族名称而来。“氏”是从君主所封的地、所赐的爵位、所任的官职,或者死后按照功绩,追加的称号而来。所以贵族有姓,有名,也有氏;平民有姓,有名,没有氏。
-
- 顾炎武曾一针见血地说出了姓和氏的区别:“氏一传而可变,姓千万年而不变。” 姓为氏之本,氏由姓所出。商周以前,姓用以区别婚姻,故有同姓、异姓、庶姓之说。氏用以区别贵贱,贵者有氏,而贫贱者有名无氏。氏同而姓不同,婚姻可通,同姓则不可通婚。
-
- 显然,因为姓强调的重点在于血缘关系,所以在具体的社会实践中,“姓”往往起着“别婚姻”的作用。“礼不娶同姓”,“父母同姓,其出不蕃”,“同姓不婚,恶不殖也”。
-
- 所以,“姓”和“氏”里反映着至为重要的信息,切不可混为一谈。
-
- 在长期的发展中,许多姓氏的读音发生了很大的变化,这给我们的日常交往带来了很大的障碍,譬如下面十个姓氏的读音,就非常容易读错,不可不慎:
-
- 1, 句:作姓氏时读gōu;
-
- 2, 黑:作姓氏时读hè;
-
- 3, 区:作姓氏时读ōu;
-
- 4, 朴:作姓氏时读piáo;
-
- 5, 仇:作姓氏时读qiú;
-
- 6, 查:作姓氏时读zhā;
-
- 7, 繁:作姓氏时读pó;
-
- 8, 员:作姓氏时读yùn;
-
- 9, 蕃:作姓氏时读pí;
-
- 10, 尉迟:作姓氏时读yùchí。
看到这里或许你也会认为应该读 qiu 了吧。可是在他的博客下面还有这么一段:
网友漫卷西风对“仇”姓的不同意见,供各位参考
- 就郭灿金中国人最易误读的10个姓氏之中仇姓的读法的辩解
- 郭灿金在中国人最易误读的10个姓氏,告诉大家10个姓的读法,其中关于仇:作姓氏时读qiú,我在《更为叫绝的一字四姓》里提到这个姓的两个读法,并且在郭灿金的评论中告诉了大家这个读法,但是不知道怎么我的评论没有了,我想是不是郭给删了。在这里我对郭有点看法,你不仅仅是删了我的评论,可以这样说你在我的心中的地位也被删去。你是文学博士,河南大学教师学识渊博,但虚荣心极强。以为你说的就是权威,就是正确的。但是就这个仇字,我还是要告诉你告诉大家 。
- 这个仇,查资料只有仇qiu 姓,没有仇chou姓,但是实际有仇chou姓,仇qiu 姓大家比较认同,仇chou姓就经常被叫为仇qiu 姓,我的一位亲戚就姓仇chou,并且是一个家族,在宁夏永宁县,有兴趣的朋友可以进一步验证。
- 请郭不要误导,大家也不要误入歧途。
- 尽信书不如无书。
然后又搜索了一下:
http://news.sina.com.cn/o/2008-10-13/150014567208s.shtml
- 红网10月13日讯(记者 朱青 实习生 陈帅)在字音上犯下常规错误是歌坛近年来屡见不鲜的事情,伊能静早前在《念奴娇》中就将“羽扇纶(guan)巾”唱成“羽扇纶(lun)巾”,而近日才推出新歌的与非门乐队亦将歌词中百家姓唱错,将姓氏中的“仇(音qiu)”唱成了“chou”。
-
- 频频在识字问题上出错,歌手的文学水平倍受质疑。对此,与非门所属唱片公司中天门文化相关负责人今日接受采访时直言已经获悉出错一事,“确实对某些字的读音还了解得不够准确,这点我们表示真诚的歉意。目前,乐队主唱蒋凡已返回广州,紧急进棚纠错。”该负责人还表示由于该单曲制作人对早点版本的缩混效果很不满意,目前单曲经过两个昼夜的连续工作已完成重新制作,“新版本比早前的缩短了30秒左右,随后将全面重发”。
-
- 稿源:红网 作者:朱青 实习生 陈帅
觉得这个乐队好可怜呀。。。
Tags: 姓氏, 仇, 混淆
Ideas | 评论:0
| 阅读:23332
Submitted by gouki on 2008, December 18, 6:56 PM
刚看到这个题目的时候,是不是觉得很奇怪?为什么这样的标题,它的TAG却是项目管理?事情要从博客园的某个博客说起,开始的时候我也以为是小孩治病方面的问题,后来才看出,确实是项目管理方面的。
仔细想想,确实和项目管理还有程序开发有关。说和做,提出方案和解决方案确实需要有一个全局把控的人。不能因为说A数据库不好,我们就换成B数据库,结果换到B数据库后还是不行;其实不是B数据库不行,而是不会配置B数据库而己。
原文地址:http://www.cnblogs.com/caidehui/archive/2008/12/18/1357692.html
内容如下:
孩子病了,腹泻。去了儿童医院,开了药,吃了几天,没用。去了医大二院,也没用。昨天再去医大二院,换一大夫。大夫仔细的询问了病的情况,药的情况。
开一方,无药,只有吃法。空腹、25ml水,服后半小时吃东西。其效入神,立时止泻。
同样的药,效果确实截然不同的。这世上,庸医,良医原来只是这点不同。
企业所面临的问题,也是如此。
Review是经过业界多年,上千项目验证了的好东西。我们引进来也有年月了,可很多项目做的实在不到位,为什么呢?
非项目之过也,实乃开方的人没有考虑如何有效的发挥作用也。
基于EV的进度管理,这个最佳实践,是进度管理中最重要的实践之一。我们引进后,还没有起到我想像中的作用。什么原因?非工具之过、使用者之过,乃我之过也。
还有很多类似的情况,东西是好的,到了我们的手上就发挥不了作用,那是因为我们并没有真正的掌握其用法。
对于那些怀疑药的作用的人来说,则是另外一个范畴的了。
好多年前,中国的思想领域也是经历了一番挣扎的。现代的社会制度,多来之于国外的研究与实践。现代的经济体系,也多来之于国外。于是有守旧者埋怨有些人认为:外国的月亮比中国的圆;也有人高呼,其实外国的月亮不圆。
这二者,我想其中应该有很大一部分不是谁比谁圆的问题,而是拿来以后如何应用的问题。既有遵循原来的精髓,又要在中国的环境中发挥作用的问题。
OO、RUP来到中国的时候,不也是讥讽有之,尊崇有之吗?
现在的中国社会看起来更成熟了一点,更开放了一点,更能容纳各种不同的思想了一点(这里不是指意识形态的问题)。所以类似的争论就少了,如何有效的应用的讨论就多了。
-------------------------------------------------
膘叔的话:你看完了,怎么想呢?你又会怎么做呢?从自身找原因?从别人身上找?唉。。不是你的项目,你管不了?总之,解决方案你自己心里有数吗?
Tags: 开发, 项目管理, 编程
Misc | 评论:0
| 阅读:19299