Submitted by gouki on 2008, December 20, 10:10 PM
极品时刻表是国内推的最早的一款列表时刻表的软件,而且更新极快,单文件。以前出远门全是靠它来计算我何时该到车站,该订哪列车。
最近他又有更新,再加上又快到春节了,估计下载量又会超标吧
更新内容如下:
* 升级为2008年12月21日全国列车最新运行图
* 更新部分数据
好象是说极品与铁道部有接触,否则,哪来这么快就能更新?不过网友也有特别的回复,当然不是说极品的,是说铁路:每次提速,在小站停的车就减少一些,经过n次提速和调整,我回家终于没有车坐了.
官方网址:http://www.jpskb.com
Tags: 时刻表, 列车, 极品时刻表
Software | 评论:0
| 阅读:17503
Submitted by gouki on 2008, December 20, 10:06 PM
MySQL 5.0从5.0.27以后,单数版本为社区版。双数版本号为企业版。如果您还不想从5.0升级到5.1的话,可以继续使用5.0的这个版本。主要还是以安全更新和bug fix居多。
官方change-log网址:http://dev.mysql.com/doc/refman/5.0/en/releasenotes-cs-5-0-75.html
简要说明:
Functionality added or changed:
-
Security Enhancement: To enable stricter control over the location from which user-defined functions can be loaded, the plugin_dir
system variable has been backported from MySQL 5.1. If the value is non-empty, user-defined function object files can be loaded only from the directory named by this variable. If the value is empty, the behavior that is used prior to the inclusion of plugin_dir
applies: The UDF object files must be located in a directory that is searched by your system's dynamic linker. (Bug#37428)
-
Previously, index hints did not work for FULLTEXT
searches. Now they work as follows:
For natural language mode searches, index hints are silently ignored. For example, IGNORE INDEX(i)
is ignored with no warning and the index is still used.
For boolean mode searches, index hints are honored. (Bug#38842)
Tags: mysql, database, community
DataBase | 评论:0
| 阅读:20781
Submitted by gouki on 2008, December 19, 8:29 PM
Tags: html, 特性, 表单, api
Software | 评论:0
| 阅读:20275
Submitted by gouki on 2008, December 19, 8:17 PM
原文来自:http://www.phpv.net/html/1653.html
作者是:扶凯
内容如下:
注意,经测试,本情况发生在少量配置有问题的服务器上.一般正式版apache无此问题.
一般的网站都会开放rar附件上传,并可能会保留原来文件名称,这从而可能导致一个很严重的问题,xxx.php.rar文件会被Apache当作php文件来执行, 造成极大的安全隐患 .
如何测试? 将你的某个php程序文件后缀名修改成 xxx.php.rar , 这时测试一下, 还是按照PHP文件解析执行,Apache并不会认为这是一个rar文件, 这是为什么呢?
原 来,每遇到一种后双重后缀名(如xxx.php.rar)的文件,Apache都会去conf/mime.types 文件中检查最后一个后缀, 如果最后一个后缀并没有在mime.types文件中定义, 则使用前一个后缀来解释 , 因为在默认情况下,rar并未在mime.types中定义, 故Apache会使用php后缀来解释文件, 这就是漏洞的原因所在.
由此类推,如果使用xxx.jsp.ppp.rar 则会认为是jsp文件, 如果修改成xxx.shtml.rar ,则会识别成shtml文件.
a.php.c.d.e.rar 也是会被当成PHP文件解释的!
想想,不知道有多少网站存在这个问题?
那么针对网络管理员,如何杜绝这个隐患 ?
1.修改mime.types文件,在最后面加一条:
application/rar rar
然后重新启动Apache,即可.
针对WEB管理员及WEB程序开发者,如何更安全?
1.只允许上传指定后缀名的文件,当然,要禁止掉rar格式文件上传.(但这条往往行不通,一般的网站都需要上传rar文件)
2.对上传后的文件进行强制重命名, 强制使用最后一个扩展名,如原始文件名为xxx.php.rar ,上传后强制重命名为 20080912.rar即可避免这个隐患.
早期版本的phpcms 2007, discuz, ecshop都存在这个漏洞, 或许你的网站被挂马,就是因此引起.
上面的文章是转的,我测试了一下,还真这样,不过修改mime.types是没有用的.
需要在http.conf中加入下面这些内容
AddType application/rar .rar
AddType application/x-compressed .rar
AddType application/x-rar .rar
AddType application/x-rar-compressed .rar
AddType application/x-rar-compressed; application/x-compressed .rar
AddType compressed/rar; application/x-rar-compressed .rar
这样就不会出问题了,测试过了,加我上面这些是没有问题的。
听闻有这样的漏洞,不管怎么样,都放上来,与大家一起分享一下,同时也请你自己检测一下自己的apache,如果你用的虚拟主机有这样的漏洞,那么也尽早通知他们一声,与人方便与己方便。
我自己没有测试过,所以不知道是否存在这个漏洞。
Tags: apache, mimetype, rar, php, bug
Linux | 评论:0
| 阅读:24698
Submitted by gouki on 2008, December 19, 3:42 PM
占领天涯 ,必将成为我是交通部派来的之后的关键字
如果不知道原因请搜索google。
百度的话我不抱希望
本年几个关键字:打酱油,交通部,俯卧撑,国家罗汉
现在又多了:占领天涯
Tags: 占领天涯, 卡门, 西电, 交通部, 打酱油
Misc | 评论:1
| 阅读:18437