首页
学习
活动
专区
工具
TVP
发布

PHP在线

php技术专栏,来自公众号phpdaily,不定时发布当下热门的开发技术及解决方案!
专栏作者
461
文章
738309
阅读量
119
订阅数
优化 MySQL: 3 个简单的小调整
我并不期望成为一个专家级的 DBA,但是,在我优化 MySQL 时,我推崇 80/20 原则,明确说就是通过简单的调整一些配置,你可以压榨出高达 80% 的性能提升。尤其是在服务器资源越来越便宜的当下。
wangxl
2018-07-27
6000
PHP 编码规范
该 PHP 编码规范基本上是同 PSR 规范的。有一部分的编码规范 PSR 中是建议,此编码规范会强制要求。 此编码规范 是以 PSR-1 / PSR-2 / PSR-2扩展 为蓝本,并增加了相应的细节说明。
wangxl
2018-07-27
3.5K1
PHP的几个常用加密函数
在网站的开发过程中,常常需要对部分数据(如用户密码)进行加密,本文主要介绍PHP的几个常见的加密函数
wangxl
2018-07-27
8160
看图学 HTTPS
之前说到HTTPS,在我的概念中就是更安全,需要服务器配置证书,但是到底什么是HTTPS,为什么会更安全,整套流程又是如何实现的,在脑子里没有具体的概念。所以,我花了几天的时间,通过参考一些文章,学习了HTTPS整套机制的实现,想要通过一篇文章把我学习到的东西总结出来,让更多之前不清楚HTTPS到底是什么的同学有一个入门的理解。
wangxl
2018-07-27
7040
PHP非阻塞实现方法
如果 PHP 与 Web 服务器使用了 PHP-FPM(FastCGI 进程管理器),那通过 fastcgi_finish_request() 函数能马上结束会话,而 PHP 线程可以继续在后台运行。
wangxl
2018-07-27
1.9K0
关注专栏作者,随时接收最新技术干货
wangxl
悠悠科技研发工程师
Porco1Rosso
自由工作者
用户2333534
时尚先生文化管理有限公司总监
用户5060411
精读《async/await 是把双刃剑》
终于,async/await 也被吐槽了。Aditya Agarwal 认为 async/await 语法让我们陷入了新的麻烦之中。
wangxl
2018-07-27
6260
3种web会话管理的方式
http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断他是否有权限继续这个请求。这个过程就是常说的会话管理。它也可以简单理解为一个用户从登录到退出应用的一段期间。本文总结了3种常见的实现web应用会话管理的方式:
wangxl
2018-07-27
1.3K0
看图理解JWT如何用于单点登录
目录 1. 前言 2.方案介绍 3.方案总结 4.本文小结
wangxl
2018-07-27
3.3K0
php面试题及答案
答案:Safe_mode是php的安全模式。开启之后,主要会对系统操作、文件、权限设置等方法产生 影响,主要用来应对webshell。以下是受到影响的一些函数:
wangxl
2018-07-27
2.1K0
最新HTML5学习路线整合
HTML5是万维网的核心语言,标准通用标记语言下的一个应用超文本标记语言(HTML)的第五次重大修改,一方面提升了用户体验,另一方面HTML5技术跨平台,适配多终端,改变了传统开发者需针对不同操作系统进行研发的局面。
wangxl
2018-07-27
1.9K0
jQuery学习笔记
jQuery大部分功能需要根据文档的DOM模型来工作,首先需要正确地解析到整个文档的DOM模型结构。使用jQuery需要在整个文档被浏览器完全加载后才开始进行。
wangxl
2018-07-27
3.4K0
新手快速学习ES6语法,用最快的速度入门ES6就看这里
最近正在学习ES6,对于ES6的语法有一些自己的理解,想写这篇文章帮助跟我一样的新手快速入门ES6而不至于连代码都看不懂.至于开发环境的搭建什么的例如balel下载什么的,百度上有很多的教程了.我在这就不再赘述了,不懂得童鞋自行查找,我们将精力放在语法上.
wangxl
2018-07-27
6410
小哥哥,小姐姐,我有一份tcp、http面试指南你要吗?
要说http就绕不开tcp,TCP协议对应于传输层,而HTTP协议对应于应用层,从本质上来说,二者没有可比性。但是,http是基于tcp协议的。
wangxl
2018-07-27
4500
从输入url开始能做哪些优化
此文主要讲的事情是如何让用户快点看到首屏页面,其主要影响因素是延迟和解析渲染耗时。有关安全部分其实也是优化的一部分。我们着重说下网络部分。
wangxl
2018-07-27
9860
彩票的数学知识
2005年2月,美国的一个彩票品种,就出现了漏洞,被麻省理工学院的学生发现了。随后的七年,这个学生反复购买这个品种,一共赚到了300万美元。
wangxl
2018-07-27
1.1K0
PHP代码审计
1.概述 代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险。 代码审核不是简单的检查代码,审核代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。审核人员可以使用类似下面的问题对开发者进行访谈,来收集应用程序信息。 应用程序中包含什么类型的敏感信息,应用程序怎么保护这些信息的? 应用程序是对内提供服务,还是对外?哪些人会使用,他们都是可信用户么? 应用程序部署在哪里? 应用程序对于企业的重要性? 最好的方式是做一个checklist,让开发人员填写。Checklist能比较直观的反映应用程序的信息和开发人员所做的编码安全,它应该涵盖可能存在严重漏洞的模块,例如:数据验证、身份认证、会话管理、授权、加密、错误处理、日志、安全配置、网络架构。 2.输入验证和输出显示 大多数漏洞的形成原因主要都是未对输入数据进行安全验证或对输出数据未经过安全处理,比较严格的数据验证方式为: 对数据进行精确匹配; 接受白名单的数据; 拒绝黑名单的数据; 对匹配黑名单的数据进行编码; 在PHP中可由用户输入的变量列表如下: $_SERVER $_GET $_POST $_COOKIE $_REQUEST $_FILES $_ENV $_HTTP_COOKIE_VARS $_HTTP_ENV_VARS $_HTTP_GET_VARS $_HTTP_POST_FILES $_HTTP_POST_VARS $_HTTP_SERVER_VARS 我们应该对这些输入变量进行检查 1.命令注入 PHP执行系统命令可以使用以下几个函数:system、exec、passthru、“、shell_exec、popen、proc_open、pcntl_exec 我们通过在全部程序文件中搜索这些函数,确定函数的参数是否会因为外部提交而改变,检查这些参数是否有经过安全处理。 防范方法: 1.使用自定义函数或函数库来替代外部命令的功能 2.使用escapeshellarg函数来处理命令参数 3.使用safe_mode_exec_dir指定可执行文件的路径 2.跨站脚本 反 射型跨站常常出现在用户提交的变量接受以后经过处理,直接输出显示给客户端;存储型跨站常常出现在用户提交的变量接受过经过处理后,存储在数据库里,然后 又从数据库中读取到此信息输出到客户端。输出函数经常使用:echo、print、printf、vprintf、< %=$test%> 对于反射型跨站,因为是立即输出显示给客户端,所以应该在当前的php页面检查变量被客户提交之后有无立即显示,在这个过程中变量是否有经过安全检查。 对于存储型跨站,检查变量在输入后入库,又输出显示的这个过程中,变量是否有经过安全检查。 防范方法: 1.如果输入数据只包含字母和数字,那么任何特殊字符都应当阻止 2.对输入的数据经行严格匹配,比如邮件格式,用户名只包含英文或者中文、下划线、连字符 3.对输出进行HTML编码,编码规范 < < > > ( ( ) ) # # & & ” “ ‘ ‘ ` %60 3.文件包含 PHP可能出现文件包含的函数:include、include_once、require、require_once、show_source、highlight_file、readfile、file_get_contents、fopen、file 防范方法: 1.对输入数据进行精确匹配,比如根据变量的值确定语言en.php、cn.php,那么这两个文件放在同一个目录下’language/’.$_POST[‘lang’].’.php’,那么检查提交的数据是否是en或者cn是最严格的,检查是否只包含字母也不错 2.通过过滤参数中的/、..等字符 4.代码注入 PHP可能出现代码注入的函数:eval、preg_replace+/e、assert、call_user_func、call_user_func_array、create_function 查找程序中程序中使用这些函数的地方,检查提交变量是否用户可控,有无做输入验证 防范方法: 1.输入数据精确匹配 2.白名单方式过滤可执行的函数 5.SQL注入 SQL注入因为要操作数据库,所以一般会查找SQL语句关键字:insert、delete、update、select,查看传递的变量参数是否用户可控制,有无做过安全处理 防范方法: 使用参数化查询 6.XPath注入 Xpath用于操作xml,我们通过搜索xpath来分析,提交给xpath函数的参数是否有经过安全处理 防范方法: 对于数据进行精确匹配 7.HTTP响应拆分 PHP中可导致HTTP响应拆分的
wangxl
2018-07-27
2.8K0
使用 Python 一步步搭建自己的区块链
你是否会和我一样,对加密数字货币底层的区块链技术非常感兴趣,特别想了解他们的运行机制。
wangxl
2018-07-27
6090
MySQL · 引擎特性 · MySQL内核对读写分离的支持
读写分离的场景应用 随着业务增长,数据越来越大,用户对数据的读取需求也随之越来越多,比如各种AP操作,都需要把数据从数据库中读取出来,用户可以通过开通多个只读实例,将读请求业务直接连接到只读实例上。使用RDS云数据库的读写分离功能,用户只需要一个请求地址,业务不需要做任何修改,由RDS自带的读写分离中间件服务来完成读写请求的路由及根据不同的只读实例规格进行不同的负载均衡,同时当只读实例出现故障时能够主动摘除,减少对用户的影响。对用户达到一键开通,一个地址,快速使用。 MySQL内核为读写分离的实现提供了支持,包括通过系统variable设置目标节点,session或者是事务的只读属性,等待/检查指定的事务是否已经apply到只读节点上,以及事务状态的实时动态跟踪等的能力。本文会带领大家一起来看看这些特征。说明一下,本文的内容基于RDS MySQL 5.6与RDS MySQL 5.7。
wangxl
2018-07-27
1.1K0
JWT实现token-based会话管理
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话管理。
wangxl
2018-07-27
8590
PHP的错误机制总结
PHP的错误机制也是非常复杂的,做了几年php,也没有仔细总结过,现在就补上这一课。
wangxl
2018-07-27
1.2K0
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档