不要轻信 PHP_SELF的安全问题

"PHP_SELF" 当前正在执行脚本的文件名,与 document root 相关.举例来说,在 URL 地址为 http://www.jb51.net/test.php/foo.bar 的脚本中使用 $_SERVER['PHP_SELF'] 将会得到 /test.php/foo.bar 这个结果.__FILE__ 常量包含当前(例如包含)文件的绝对路径和文件名. "SCRIPT_NAME" 包含当前脚本的路径.这在页面需要指向自己时非常有用.__FILE__ 包

先谈parent与self: 复制代码 代码如下: <?php/* * Created by YinYiNiao */ class A{  function __construct(){   echo "基类A的构造方法<br />";  } } class B extends A{  function __construct(){   parent::__construct();   echo "子类B的构造方法<br />";   

复制代码 代码如下: <?php // 说明:获取 _SERVER['REQUEST_URI'] 值的通用解决方案 function request_uri() { if (isset($_SERVER['REQUEST_URI'])) { $uri = $_SERVER['REQUEST_URI']; } else { if (isset($_SERVER['argv'])) { $uri = $_SERVER['PHP_SELF'] .'?'. $_SERVER['argv'][0]; }

复制代码 代码如下: Request-URI Too Large The requested URL's length exceeds the capacity limit for this server. 关于上面说的这个 Request-URI Too Large 问题,原因如下: apache的这错误是URL的长度超出了限制.URL的长度限制受浏览器和服务器的影响,常见的IE是2083,Firefox是65,536(实测8182),opera 是4050, Netscape 是8192等.

$_SERVER[PHP_SELF], $_SERVER[SCRIPT_NAME], $_SERVER['REQUEST_URI'] 在用法上是非常相似的,他们返回的都是与当前正在使用的页面地址有关的信息,这里列出一些相关的例子,帮助确定哪些是在你的脚本最适合的. $_SERVER['PHP_SELF'] 复制代码 代码如下: http://www.yoursite.com/example/ - – - /example/index.php http://www.yoursite.com/exa

今天来总结下. .在类的内部方法访问已经声明为const及static的属性时,使用self::$name的形式.注意的是const属性的申明格式,const PI=3.14,而不是const $PI=3.14 复制代码 代码如下: class clss_a { private static $name="static class_a"; const PI=3.14; public $value; public static function getName() { return se

复制代码 代码如下: <html> <body> <?php if (isset($_REQUEST['submitted']) && $_REQUEST['submitted'] == '1') { echo "Form submitted!"; } ?> <form action="<?php echo $_SERVER['PHP_SELF']; ?>"> <input type=

浅谈java内存模型 不同的平台,内存模型是不一样的,但是jvm的内存模型规范是统一的.其实java的多线程并发问题最终都会反映在java的内存模型上,所谓线程安全无非是要控制多个线程对某个资源的有序访问或修改.总结java的内存模型,要解决两个主要的问题:可见性和有序性.我们都知道计算机有高速缓存的存在,处理器并不是每次处理数据都是取内存的.JVM定义了自己的内存模型,屏蔽了底层平台内存管理细节,对于java开发人员,要清楚在jvm内存模型的基础上,如果解决多线程的可见性和有序性. 那么,何谓

[问题描述] 最近公司安排我面试Java的FreshMan,面试者一般是工作1年多点的新人(这里我就装老一下,其实我也才工作3年不到),在被问及Struts1和Struts2的Action的线程安全问题的时候,大多是支支吾吾,答不出所以然.所以在这里我整理一下我个人的理解. [问题答案] 这是由于Servlet的工作原理产生的.我们先来简单回顾一下Servlet的生命周期"初始化->init->service->destroy->卸载". 这里大家都知道,我们在

正在看的ORACLE教程是:Microsoft SQL Server 安全问题. Microsoft SQL Server 7.0安全问题 Microsoft Corporation [「Microsoft SQL Server 7.0」以下简称「SQL Server 7.0」] SQL Server 7.0 有哪几种安全模式? 两种:SQL Server和Windows NT(混合)及Windows NT only.SQL Server 和Windows NT相当于SQL Server 6.5

php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题. 在松散比较的时候,php会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较.如下是php manual上的比较运算符表: 例子 名称 结果 $a == $b 等于 TRUE,如果类型转换后 $a 等于 $b. $a === $b 全等 TRUE,如果 $a 等于 $b,并且它们的类型也相同. $a != $b 不等 TRUE,如

前言 相信大家都知道PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理. 这篇文章主要就是记录我在做攻防平台上面遇到的PHP的函数中存在的问题,以及PHP的弱类型所带来的问题.对大家在学习或者使用php的时候具有一定的参考借鉴价值,下面来一起看看. PHP弱类型简介 小编之所以认为php很强大是因为php提供了很多独有的特性工开发者使用,其中一个就是php弱类型机制. 在PHP中,可以进行一下的操作. $pa

PHP通过提取魔术引号产生的"\"字符会带来一定的安全问题,例如下面这段代码片段: // foo.php?xigr='ryat function daddslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array

浅谈Php安全和防Sql注入,防止Xss攻击,防盗链,防CSRF 前言: 首先,笔者不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记.细心总结文章,里面有些是我们phper不易发现或者说不重视的东西.所以笔者写下来方便以后查阅.在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围.但是作为一个phper对于安全知识是:"知道有这么一回事,编程时自然有所注意". 目录: 1.php一些安全配置(1)关闭php提示错误功能(2)关闭一些"坏