下面是摘自thinkphp官方的一个公告,官方直接贴出这些东西是非常不负责的行为,跟上次apache公开的Struts2的代码执行一样的行为,会造成很多用户被黑。建议类似的厂商不要再做这种蠢事。  ThinkPHP 3.1.3及之前的版本存在一个SQL注入漏洞,漏洞存在于ThinkPHP/Lib/Core/Model.class.php 文件  根据官方文档对“防止SQL注入&rd
  ThinkPHP是一个开源的PHP框架, 是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。早期的思想架构来源于Struts,后来经过不断改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结 构和MVC模式,融合了Struts的Action和Dao思想和JSP

phpthink中字符串截取代码:支持中文和其它编码

一款不错的支持中文和其它编码截取函数,不会出现乱码情况,有需要的朋友可以参考一下。/**+----------------------------------------------------------* 字符串截取,支持中文和其它编码+----------------------------------------------------------* @param string $str

土豆分站使用phpthink框架含任意代码执行漏洞的分析

  土豆分站任意代码执行,同服务器上有好几个活动页面  详细说明:  用的phpthink框架 存在命令执行漏洞  http://a.tudou.com/specapp/index.php/module/action/param1/${@phpinfo()}  直接拿shell:  http://a.tudou.com/specapp/index.php/module/action/param1/

Phpthink入门基础大全(CURD部分)

  [ad code=1 align=center]  $data[1]['name'] = ‘阳光雨'  $data[1]['email'] = 'lihao295765222@sina.com'  $User>addAll($data)'lihao295765222@163.com'  $array['phone'] = '12335678′  $this->

PHP开发中require和include的不同点

  PHP中require和include基本的区别,其实在一般PHP开发中require和include这2个函数的功能大致相同,但是有一些区别,请看下文讲解。  第一点:require()  和  include()  除了怎样处理失败之外在各方面都完全一样。include()  产生一个警告而  require()  则导致一个致命

标签:

用php中GD库生成高质量的缩略图片的方法

  GD库在php中的应用是很广泛的,本文笔者用实例程序来说明如何用GD库和php程序来控制图片。  1. <?  2.  3. $FILENAME=“image_name”;  4.  5. // 生成图片的宽度  6. $RESIZEWIDTH=400;  7.  8. // 生成图片的高度  9. $RESIZEHEIGHT=400;  10.  11.  12

标签:

用Ajax读取xml文件的简单例子 创建XMLHttpRequest对象

  Ajax的原理很简单,就是在客户端创建一个XMLHttpRequest对象(用来与服务器进行异步通信,这就是Ajax的核心,其实我们早就在用异步通信了,只是没把这项技术用在网页设计中而已),为该对象的onreadystatechange 属性添加一个事件,当对象的readyState改变的时候就会引发指定的事件。 到此就可以就发送请求读取服务器端的XML数据了,最后要做的就是处理数据了。 关于

标签:

php的ajax框架xajax入门与使用规则

一、xajax与其它ajax框架的比较  xajax功能很简单,但很灵活!~它不象其它一些大的框架,功能确实强大,但执行速度不敢恭维。功能虽多,但不够灵活。api多,学起来简直如同学习一门新的语言。二、xajax功能介绍  xajax的功能比较简单,但就因为简单,所以灵活。同时,这也要求使用者要对javascrīpt / vbs 客户端脚本有一定的了解。因为它的功能是比较活的。可以说单纯使用xaj

标签:

什么是Dojo?

  Dojo是一个非常强大的面向对象的JavaScript的工具箱, 建议能够去复习一下JavaScript下如何使用OO进行编程的, 这对于你以后阅读Dojo Source有很大的用处。  请下载dojo 0.3.1, 以下的说明均针对此版本1: 把Dojo加入到我们的Web程序中  1.1 标志  <script type=“text/javascript”>

标签:

sql筛选记录语句中where和having的区别

  HAVING是先分组再筛选记录,WHERE在聚合前先筛选记录。也就是说作用在GROUP BY 子句和HAVING子句前;而 HAVING子句在聚合后对组记录进行筛选。  作用的对象不同。WHERE 子句作用于表和视图,HAVING 子句作用于组。WHERE 在分组和聚集计算之前选取输入行(因此,它控制哪些行进入聚集计算), 而 HAVING 在分组和聚集之后选取分组的行。因此,WHERE 子句

标签:

mysql replace into的用法和新功能

  首先来说所mysql replace into的功能:  replace into 跟 insert 功能类似,不同点在于:replace into 首先尝试插入数据到表中, 1. 如果发现表中已经有此行数据(根据主键或者唯一索引判断)则先删除此行数据,然后插入新的数据。 2. 否则,直接插入新数据。  注意,除非表有一个PRIMARY KEY或UNIQUE索引,否则,使用一个REPLACE语

标签:

实例分享:用PHP实现微博里面短链接的算法

  思路:  1)将长网址md5生成32位签名串,分为4段, 每段8个字节;  2)对这四段循环处理, 取8个字节, 将他看成16进制串与0x3fffffff(30位1)与操作, 即超过30位的忽略处理;  3)这30位分成6段, 每5位的数字作为字母表的索引取得特定字符, 依次进行获得6位字符串;  4)总的md5串可以获得4个6位串; 取里面的任意一个就可作为这个长url的短url地址;&nb

标签:

php漏洞与代码审计过程中需要注意的几点

  漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等  1.xss + sql注入  其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数,可由如下所示:  $_REQUEST = filter_xss($_REQUEST);  $_GET = filter_xss($

用php内置函数去除html标记

  strip_tags() :去掉字串中包含 HTML 及 PHP 的标记,返回字符串形式的值。  若是字串的 HTML 及 PHP 标签原来就有错,例如少了大于的符号,则也会传回错误。而本函式和 fgetss() 有着相同的功能。  htmlspecialchars():将特殊字元转成 HTML 格式,返回字符串形式的值。

标签:

php中如何安全的使用exec,system等函数调用系统命令

  PHP作为一种服务器端的脚本语言,像编写简单,或者是复杂的动态网页这样的任务,它完全能够胜任。但事情不总是如此,有时为了实现某个功能,必须借助于操作系统的外部程序(或者称之为命令),这样可以做到事半功倍。php的内置函数exec,system都可以调用系统命令(shell命令),当然还有passthru,escapeshellcmd等函数。  比如LINUX中修改服务器时间命令是 /xxx/d

标签:

分享一个基于PHP实现的简体繁体转换类

  手头的一个支付站需要剥离出一个台湾分站,界面风格不变,启用新域名,数据源有且只有一个。好吧,复制一套模板,把文字改成繁体。动态数据就用函数转吧。  网上大概有php和js两种实现方式,基于自身需要和灵活性方面考虑,个人偏向于用php实现。这是一个很早的php简繁转换类(UTF-8),作者CRLin写于2003年,目前他留下的地址已无法访问,不过还是要感谢他写了如此好用的类给我们使用。  vie

标签:

  很多开发者进行数据库设计的时候往往并没有太多的考虑char, varchar类型,有的是根本就没注意,因为存储价格变得越来越便宜了,忘记了最开始的一些基本设计理论和原则,这点让我想到了现在的年轻人,大手一挥一把人民币就从他手里溜走了,其实我想不管是做人也好,做开发也好,细节的把握直接决定很多东西。当然还有一部分人是根本就没弄清楚他们的区别,也就随便选一个。在这里我想对他们做个简单的分析,当然如果有不对的地方希望大家指教。  1、CHAR.CHAR存储定长数据很方便,CHAR字段上的索引效率级

标签:

MySQL查询两次和双表联查哪个效率高

  今天在QQ群里面有一网友问到“MySQL查询两次和联表查询哪个效率高”,当时对这种菜鸟级问题很不屑,因为自己曾经在MySQL数据库学习上花了一些时间,所以很清楚的知道,MySQL查询两次肯定就有两次I/O调用过程,而查询一次也就只有一次调用过程。这就很清楚的看出哪个效率高,但我没有回答该网友的问题,我跟他说你百度一下咯,网上肯定要相关的问题。  但是下班之后一回想,这问

标签:

字符串分割函数explode() 的使用方法

  通常我们在开发项目中,想查看用户通过表单或者其它方式提交的字符串的各个部分,以便于分类存储和使用。例如,查看句子中的单词,或者要将一个网址或者电子邮箱地址分割成一个个的组成部分。在PHP中提供了几个实现这一需求的函数,今天就来说说其中的一个explode()函数。  在PHP开发手册中,其函数原型如下所示:  array explode(string separator,string inpu

标签: