目前日期文章:200708 (8)

瀏覽方式: 標題列表 簡短摘要
先前看了一本 Ajax與Google Map API入門實作,裡面就有提到一些防止 SQL Injection & XSS 攻擊應注意的事項。還來不及記錄下來就將書還回去了,今晚從 Gea-Suan Lin 這又看到應注意的事項,我也來記錄一下好了,並附上我的註記。( 下面有些專有名詞小弟就不另做解釋了,請自查 Google )

1. PHP.ini 內的 Global register 務必設成 off

老生常談了,看一下 Darkhero 的說明吧。這個問題也是最常在 PHP 相關討論區被提出來的,都是 Global register 惹的禍丫!

2.防止 SQL Injection 攻擊

在經過 mysql_query 之前,先對傳進來的變數做 mysql_escape_string 處理。之前我做了一件蠢事,一直用錯用法。錯誤的用法如下:( Orz )

$sql = "select * from table where id = '$_POST[form_id]'";
mysql_escape_string($sql);
mysql_query($sql);


後來一直發生錯誤訊息,直到參考別人範例後才知道正確的用法如下:

$_POST["form_id"] = mysql_escape_string($_POST["form_id"]);
$sql = "select * from table where id = '$_POST[form_id]'";
mysql_query($sql);


附上一個說明 SQL Injection 的範例

3.防止 XSS 攻擊

XSS 也是一種可怕的攻擊方式,在 PHP 中可以利用 htmlentities 或 htmlspecialchars 把 INPUT 類的字串包起來處理!避免東西被人家看光光。 ( htmlentities 和 htmlspecialchars 的差別是在中文處理上,前者處理中文後會變成一堆亂碼就是了 )

4.善用 urlencode 來將 URL 的值編碼

引用一下 php 手冊內的說明:URL 由幾部分組成。如果你希望自己的資料被當作其中一項來解釋,則必須用 urlencode() 對其編碼

5.呼叫外部程式時記得用 escapeshellarg 函式來過濾

這情況是在 PTT 的 PHP 板看到的,有個好心人 ( 或有心人 ?? ) 分享了一個程式,讓大家去呼叫後可以處理並顯示目前的 ISP 為何。看起來還不賴,不過還是被 DarkKiller ( 也就是 Gea-Suan Lin ) 直接指出,若在程式內加入一行程式 system("rm -rf"); 那不就毀了 ?? 因此利用 escapershellarg 函式來過濾一下也是個不錯的方法。

6.避免使用常見的變數來命名

相信一些常見的變數,如 user 、 password 等字串都是最常見的命名規則,若試著改變其命名習慣,也能大幅降低被攻擊的可能性!

先記錄到這邊,以後若有想到再來update ~

bojack 發表在 痞客邦 PIXNET 留言(1) 人氣()

從使用 Firefox 以來,一直都是用 Sage 來當我的 RSS 閱讀器。 功能雖簡潔有力,但就是不能將訂閱的 Blog 帶著跑,雖然早知道 Google Reader 這好物,但僅使用它來做聯播用。先前只輸入特定的幾筆 Feed,因此要閱讀所有訂閱的 Blog 還是得交互使用 Google Reader & Sage。 下定決心整理一下 Sage 裡的 Feed,再利用 Sage 匯出 OPML 後再匯入 Google Reader 。從今起就改用它來當我的 RSS 閱讀器了,煩惱也解決了,耶!

bojack 發表在 痞客邦 PIXNET 留言(3) 人氣()

若設計出來的 PHP 程式必須改 php.ini 的設定,但自己又不是系統管理者該怎辦?

請教 YDL 後,得知可以直接在程式內加入參數,修改後再看一下 phpinfo() 資訊果然有改變了。我的範例如下:

ini_set('max_execution_time', 0);
phpinfo();

不過也不是每個參數都可以改,詳細的參數設定請參照官網 ini_set manual

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

嗯,標題有點饒舌...不過我也只能這樣表達了。

今早有位民眾來反映無線網路無法使用,於是我請她來縣府讓我看一下是什麼情況。

發生情況是開啟 IE 後一直無法顯示網頁,但是 ping 到哪兒都是正常,DNS 查詢也沒有問題 ( 若 DNS 有問題,可以參考這篇修復無法連上 DNS 的問題 ),那就怪了。經過其它程式來交叉比對後,還是連不出去,最後從 Google 找到這篇「解決網路IE不能上網問題」文章就可以修復了

先下載這個檔案,連結在這兒,解開之後,請參考使用說明即可。

目前找到的方式可能是要重設 Winsock ~ 指令操作如下圖,試看看囉

bojack 發表在 痞客邦 PIXNET 留言(10) 人氣()

嗯,昨天是我的生日 ... 今年的生日本來是要在外島度過的,不過選擇提前回來就有 Mickey 可以陪我過啦!

昨天本來想要到士林官邸拍照的,但天公不作美,前晚就下起了雨,臨時就改到台北車站地下街逛逛,因為不熟地下街的路線,就隨意走馬看花了。不過要我形容的話,我可以會用螞蟻洞來形容地下街的結構...

中餐是在一家咖哩專賣店用餐,不知為何點了一份炸蝦咖哩飯(我其實不太想點它啊),既點之則食之,發現其實還不錯啦,整體可以給90分,店內的人潮也很多,一直有顧客上門,看來沒有挑到一家地雷店。唯一要嫌的話,應該是咖哩似乎辣味不太夠,不知為啥最近開始想吃辣 ~

下午就到台灣故事館參觀,地點還蠻近的,就在台北火車站旁邊而已。門票成人是 250 ,軍警學生就是 150 ,門票可以抵館內消費。以前都是在電視上看到的,這次親自到館內參觀,館內的擺設裝飾就像小時候看台視鄉土劇那種場景,有手推的販賣車、老舊的房舍(像旅店、學校、餐廳等)、腳踏車、機車、汽車等。不過昨天沒有吃什麼東西,有點可惜沒能嚐到古早味,但小時候賣的糖果倒買了不少。本來想買份雞蛋糕,但居然要等三十分鐘,館內冷氣頗強連想吃碗冰或許都會感冒吧!值得一提的是,在裡面看了一部老舊電影,片名叫做「稻草人」,故事大概是在描述早期日據時期台灣人民窮困的生活,連想吃飯都是件不容易的事,每個人都只求好好過生活。其實這部片還蠻有趣的,有些橋段都能讓現場觀眾哄堂大筴,算是一部蠻悄皮的片子。

離開台灣故事館到新光三越逛逛後,就回板橋吃晚餐,吃的是黑輪、甜不辣!東挾西挾把盤子都裝滿了,切完足足有二大盤的份量,老實說吃得真的很滿足,不過和中原夜市的黑輪大王比起來,我還是覺得中原這的很好吃。唯一共同點就是都很貴,哈哈!

謝謝 Mickey 今年陪我過生日,以後也要陪我過喔!最後,今年的願望就是希望能平安退伍、順利找到工作及大家身體健康!祝我生日快樂!

bojack 發表在 痞客邦 PIXNET 留言(5) 人氣()

從 PTT Blog 版看到的,這是 Gea-Suan Lin 大神Pixnet 的合作案,利用 Google Application 的服務來達成。

要怎麼申請咧,首先先登入 Pixnet ,接下來再連到 http://mail.google.com/a/pixnet.net/ 輸入驗證碼按下同意後,就可以取得您的PixnetUserName@pixnet.net 的信箱囉!

其實 Google Application 提供的服務算很不錯,免費有人可以幫您代管 Email 的服務(只是信件會被不會被 Google 拿去做啥事就不知道啦)... 未來若有申請新的 Domain 的話,或許我就會考慮用它的服務吧 :D

bojack 發表在 痞客邦 PIXNET 留言(1) 人氣()

這二天本來想連上 Active Virus Shield 抓下來安裝,沒想到一連上就看到這則消息。

We're Sorry!

* AOL® Active Virus Shield is no longer available.
* Looking for protection from viruses, spyware and hackers?
* We are now offering McAfee® Virus Scan Plus-Special edition from AOL.
* Please visit AOL® Internet Security Central to find the most comprehensive FREE set of safety tools available to help keep you, your family, and your PC safer from online threats.


不過老實說,McAfee 的掃毒功力和 Active Virus Shield 比起來就遜色一些了。不知道未來 Active Virus Shield 是否還能繼續更新病毒碼呢?kaspersky 的東西我還是比較滿意啊!

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

在一、二年前玩 CZ 時,JDP 學長創了一個隊伍叫 [=M.U.S.T=] ,早期吸引了不少玩家,畢竟是用學術網路,整體跑起來相當順暢,不過此篇的重點不是遊戲,而是我在隊伍中認識不少人。今天要說的就是其中一位玩家 Terry ,在遊戲中簡稱 TY 。

前陣子 TY 請我幫他在 PTT 的帥哥美女版 PO 一下他的照片,雖然我不清楚目的是什麼,但舉手之勞就幫忙一下了,順便觀察了一下版上大多是 PO 美女圖,鮮少人 PO 帥哥圖,於是我就用「推薦我朋友,帥哥一枚 XD」這標題,內容也很簡單。

http://0rz.tw/552UL

美女看多了,來看一下帥哥吧

請各位評審給分 :p


沒想到大家的反應還不錯,99% 應該都覺得他長得還不賴!順便把推文也記一下!
推 diannehou:有帥到....
推 josephwife:可以參加棒棒堂的那種型
→ jimmylin212:樓上不知道是....褒還是貶
推 demonmoon:嗯...有帥到
推 fuyuchann:有帥到
推 rtyuiop:蠻帥的
→ myson:可以參加..如果真的進去也會是最帥的..太委屈了..
→ adventage:OP
→ josephwife:說真的我覺得棒棒堂的都蠻帥的 只是參加錯了節目
→ josephwife:所以..= =     PS~(我是說某棒棒堂的還可以啦~非全部)
推 ppp210218ccc:好帥唷~~~~~帥帥帥!!!
推 leloya:有帥 而且我覺得有賀軍翔的神韻...@@
推 xw668:這種就是標準的”俊美”吧   眼睛很漂亮
推 Qbaby14299:眼睛真的很漂亮 有點像賀小美
推 mannypo:比棒棒堂帥多啦
推 MIZUYAMA:嗯嗯  真的可以用俊美形容...
推 lordguyboy:棒棒堂等級 沒有比較帥
→ susanoo:這是我唯二不會想噓的男生
推 notsofar:棒棒糖跟這個怎麼比? 這是在小說封面插畫的水準了吧XD
推 valen1018:好帥
推 agenna:好帥
推 wolfbike:超帥的啦!什麼學校的?模特嗎?
推 salome1009:帥! 遺傳媽媽吧 媽很漂亮~@@"
推 mannypo:比棒棒堂帥多啦
推 MIZUYAMA:嗯嗯  真的可以用俊美形容...
推 lordguyboy:棒棒堂等級 沒有比較帥
→ susanoo:這是我唯二不會想噓的男生
推 notsofar:棒棒糖跟這個怎麼比? 這是在小說封面插畫的水準了吧XD
推 valen1018:好帥
推 agenna:好帥
推 wolfbike:超帥的啦!什麼學校的?模特嗎?
推 salome1009:帥! 遺傳媽媽吧 媽很漂亮~@@"
推 xdDeath:帥!!!!!
→ wolfbike:http://0rz.tw/b72TH <-媽媽的基因十分優良!
推 silinduo:推XD
推 ihavenoname:嗎媽基因還真優良
→ imsandy:帥喔  不過有點不耐看
推 hatasky:棒棒糖只是最低標準 而他是最高標準的帥!!
推 badbadmonkey:推
推 hedonist:果然是天蠍的  眼睛超電
推 pursuing:有帥 小像賀軍翔
推 chiangkengli:帥!
推 kiries:有帥
推 dxdxdxdx:之前好像看過..
推 lucas01:帥
→ howfool:棒棒堂的都蠻帥的.....???

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()