当我们使用宝塔面板部署好后,可以直接使用,如果你还没有部署Nextcloud,可以参考:
随着使用 PHP 环境的用户越来越多,相关的安全问题也变得越来越重要。PHP 环境提供的安全模式是一个非常重要的内嵌安全机制,PHP 安全模式能有效控制一些 PHP 环境中的函数(例如system()函数),对大部分的文件操作函数进行权限控制,同时不允许对某些关键文件进行修改(例如 /etc/passwd)。但是,默认的 php.ini 配置文件并没有启用安全模式。
wordpress的默认后台地址是example.com/wp-admin/,进入后台最关键的就是要进入登录页,wordpress的登录页默认是/wp-login.php。这就意味着所有了解wordpress的人都可以打开你的后台登录页面,这样的话非常容易给某些小学生一些可乘之机。
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开/etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。
PHP知识点范围:常用数据类型 php的数据类型:包括8种原始数据类型、4种标量类型、2种复合类型和2种特殊类型; var_dump()输出对应的数据类型; 8进制前面是0,16进制前面是0x; 浮点型的e3为小数点后退3位,e-3为小数点前进3位,大小写没有区别; 双引号内包含变量名会取其变量值,单引号内包含会视其为字符串; Heredoc结构表述长字符串,<<<标题 内容 标题; 特殊类型-资源:fopen()打开文件,mysqlconnect()连接数据库,imagecreate()图形画布; err
无论是Apache还是Nginx,php.ini都是适合的,而php-fpm.conf适合nginx+fcgi的配置
上一篇文章《PHP 跨站脚本攻击(XSS)漏洞修复方法(一)》写到了 360 修复 XSS 漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。 从上一篇文章看出,部署了 360 出的 XSS 修复插件之后,至少还存在 iframe 无法过滤缺憾,是否还有其他纰漏目前还不得而知。 分析一下中国博客联盟和张戈博客已开放的数据入口: ①、中国博客联盟,主要有搜索、后台博客提交等; ②、张戈博客(WordPress),主要是用户评论提交; 所以,本文就已这 2 个入口为例子,来分享 X
无论是apache还是nginx,php.ini都是适合的。而php-fpm.conf适合nginx+fcgi的配置
在linux下用vi或vim打开functions.php文件时 [root@localhost tmp]# vi functions.php 出现了如下信息: E325: ATTENTION Found a swap file by the name ".functions.php.swp" owned by: root dated: Wed Dec 7 13:52:56 2011 file name: /var/www/html//wp-con
由于本人主力 Linux 换为了 WSL 中的 Ubuntu 22.04,因此本次 LFI-Labs 靶场将直接部署于该环境下,为避免众多环境问题让时间成本剧增,将使用 Docker 直接部署原作者封装好的版本。话虽这么说,貌似 Docker + WSL 本身就是庞大的时间成本。正文中一些容器内无法实现的操作将转为使用 Windows 本地部署的备用环境,直接 phpstudy 倒是相当方便。
本文主要记录在 Ubuntu 20.04.1 Desktop 版本中配置 Nginx、Mysql、PHP、phpMyAdmin。
行话说“年头出事白干一年,年尾出事一年白干”。临近年关,数据中心“安全”也变得热门了起来。数据中心的人身、物理及信息安全有千头万绪。今天,我们就从数据中心标识系统讲起。此外,腾讯数据中心微信公众号将推出一系列以“数据中心安全”为主题的文章,敬请关注。 标识系统绝非一个小课题,腾讯数据中心团队历经数年,从运营实践中积累总结提炼而得本文。标识系统的精细化、统一化及人性化,可为数据中心运维、参观等人员提供清晰的安全警示,最大化减少安全事故。专业人性的标识系统,对数据中心落地运营的效率又有无可比拟的意义。 图1
限定某个目录禁止解析php 虚拟主机配置文件添加的核心配置内容: <Directory /data/wwwroot/111.com/upload> php_admin_flag engine off //在upload目录下禁止解析php <FilesMatch *\.php(.*)> //这行以及以下两行的意思就是 //让php的文件访问受到限制,防止php文件的源代码被查看 Order allow,deny Deny
请注意,本文编写于 486 天前,最后修改于 476 天前,其中某些信息可能已经过时。
[PHP] ; PHP还是一个不断发展的工具,其功能还在不断地删减 ; 而php.ini的设置更改可以反映出相当的变化, ; 在使用新的PHP版本前,研究一下php.ini会有好处的 ;;;;;;;;;;;;;;;;;;; ; 关于这个文件 ; ;;;;;;;;;;;;;;;;;;; ; 这个文件控制了PHP许多方面的观点。为了让PHP读取这个文件,它必须被命名为 ; 'php.ini'。PHP 将在这些地方依次查找该文件:当前工作目录;环境变量PHPRC ; 指明的路径;编译时指定的路径。 ; 在windows下,编译时的路径是Windows安装目录。 ; 在命令行模式下,php.ini的查找路径可以用 -c 参数替代。 ; 该文件的语法非常简单。空白字符和用分号';'开始的行被简单地忽略(就象你可能 ; 猜到的一样)。 章节标题(例如 : [Foo])也被简单地忽略,即使将来它们可能 ; 有某种的意义。 ; ; 指示被指定使用如下语法: ; 指示标识符 = 值 ; directive = value ; 指示标识符 是 *大小写敏感的* - foo=bar 不同于 FOO = bar。 ; ; 值可以是一个字符串,一个数字,一个 PHP 常量 (如: E_ALL or M_PI), INI 常量中的 ; 一个 (On, Off, True, False, Yes, No and None) ,或是一个表达式 ; (如: E_ALL & ~E_NOTICE), 或是用引号括起来的字符串(" foo" ). ; ; INI 文件的表达式被限制于位运算符和括号。 ; | bitwise OR ; & bitwise AND ; ~ bitwise NOT ; ! boolean NOT ; ; 布尔标志可用 1, On, True or Yes 这些值置于开的状态。 ; 它们可用 0, Off, False or No 这些值置于关的状态。 ; ; 一个空字符串可以用在等号后不写任何东西表示,或者用 None 关键字: ; ; foo = ; 将foo置为空字符串 ; foo = none ; 将foo置为空字符串 ; foo = " none" ; 将foo置为字符串'none' ; ; 如果你值设置中使用常量,而这些常量属于动态调入的扩展库(不是 PHP 的扩展,就是 ; Zend 的扩展),你仅可以调入这些扩展的行*之后*使用这些常量。 ; ; 所有在 php.ini-dist 文件里设定的值与内建的默认值相同(这是说,如果 php.ini ; 没被使用或者你删掉了这些行,默认值与之相同)。 ;;;;;;;;;;;;;;;;;;;; ; 语言选项 ; ;;;;;;;;;;;;;;;;;;;; engine = On ; 使 PHP scripting language engine(PHP 脚本语言引擎)在 Apache下有效。 short_open_tag = On ; 允许 tags 将被识别。 asp_tags = Off ; 允许ASP-style tags precision = 14 ; 浮点类型数显示时的有效位数 y2k_compliance = Off ; 是否打开 2000年适应 (可能在非Y2K适应的浏览器中导致问题) output_buffering = Off ; 输出缓存允许你甚至在输出正文内容之后发送 header(标头,包括cookies)行 ; 其代价是输出层减慢一点点速度。你可以使用输出缓存在运行时打开输出缓存, ; 或者在这里将指示设为 On 而使得所有文件的输出缓存打开。 output_handler = ; 你可以重定向你的脚本的所有输出到一个函数, ; 那样做可能对处理或以日志记录它有用。 ; 例如若你将这个output_handler 设为" ob_gzhandler" , ; 则输出会被透明地为支持gzip或deflate编码的浏览器压缩。 ; 设一个输出处理器自动地打开输出缓冲。 implicit_flush = Off ; 强制flush(刷新)让PHP 告诉输出层在每个输出块之后自动刷新自身数据。 ; 这等效于在每个 print() 或 echo() 调用和每个 HTML 块后调用flush()函数。 ; 打开这项设置会导致严重的运行时冲突,建议仅在debug过程中打开。 allow_call_time_pass_reference = On ; 是否让强迫函数调用时按引用传递参数。这一方法遭到抗议, ; 并可能在将来版本的PHP/Zend里不再支持。 ; 受到鼓励的指定哪些参数按引用传递的方法是在函数声明里。 ; 你被鼓励尝试关闭这一选项并确认你的脚本仍能正常工作,以保证在将来版本的语言里 ; 它们仍能工作。(你将在每次使用
这个文件控制了PHP许多方面的观点。为了让PHP读取这个文件,它必须被命名为 'php.ini'。PHP 将在这些地方依次查找该文件:当前工作目录;环境变量PHPRC
[PHP] ; PHP还是一个不断发展的工具,其功能还在不断地删减 ; 而php.ini的设置更改可以反映出相当的变化, ; 在使用新的PHP版本前,研究一下php.ini会有好处的
如果我们的网站有一个目录,可以上传图片,可能保不准有些别有用心的人会通过一些手段,上传php文件到这个目录下。那么这个php文件就会被apache执行,如果这个php文件里写的是恶意代码,你的服务器自然就会遭到***。毕竟开放了这样一个权限,肯定会被人上传***文件,如果被夺取了你的服务器root权限就很危险了。
第一种方法:在php.ini文件里改变display_errors和error_reporting的值,没有的直接加上
include,require,include_once,require_once四种都是包含文件请求
程序只要在运行,就免不了会出现错误,错误很常见,比如Error,Notice,Warning等等。这篇文章具体说一下PHP的错误类型和屏蔽方法。在PHP中,主要有以下3种错误类型。 1. 注意(Notices) 这些都是比较小而且不严重的错误,比如去访问一个未被定义的变量。通常,这类的错误是不提示给用户的,但有时这些错误会影响到运行的结果。 2. 警告(Warnings) 这就是稍微严重一些的错误了,比如想要包含include()一个本身不存在的文件。这样的错误信息会提示给用户,但不会导致程序终止运行。 3
使用泛型编程时,会遇到许多编译器警告,例如:非受检强制转换警告(unchecked east warning)、非受检方法调用警告、非受检普通数组创建警告、非受检转换警告(unchecked conversion warnings)。
可以在这个列表 (opens new window)找到所有可用的 Emoji。
在使用了 eslint 进行代码检查后,可以大幅提高我们的代码规范。但是,在某些情况下,我们必须去写一些违反规则的代码。如果写了这些代码,则势必会导致各种提示报错。这种情况下,如果不去处理,则会导致项目警告越来越多,最终不知道哪些是必须的,哪些是可以修正的。 因此,在某些地方,禁用检查就变得十分重要了。随便搜索了一下,找到了这篇博文,写得还比较全面,因此转载过来了。
简单介绍 SweetAlert是一款神奇的javascript弹出消息警告框插件。可替换所有alert弹框 使用方法 要使用该插件,首先要在header中引入以下文件(已打包附件内,
什么是PHPIDS? PHPIDS(PHP入侵检测系统)是由Mario Heiderich撰写的基于PHP的Web应用程序的最先进的安全层。 IDS既不剥离,消毒也不过滤任何恶意输入,它只是识别攻击者何时尝试破坏你的网站,并按照你想要的方式做出反应。PHPIDS目前是目前为止最好的开源入侵检测系统。不要忘记阅读其文档,以充分利用其功能。 插件实际上是做什么的? 此插件将监视和保护你的CakePHP免受网络攻击。如果攻击者试图将恶意的有效载荷发送到你的站点,IDS会检测,记录并警告攻击者,提醒管理员或根据攻击
程序集包含基于 ResX 的资源,但没有向其应用 System.Resources.NeutralResourcesLanguageAttribute。
非中断 - 如果系统提示你向无标志枚举添加 None 值。 中断 - 如果系统提示你重命名或删除任何枚举值。
依次打开后台→外观→编辑找到functions.php文件打开并在底部增加以下代码即可
前面已经介绍过生产订单有很多种状态,在生产执行过程中会自动记录与更新生产订单状态,当生产订单执行到后工序时,如何通过订单状态控制业务的发生?
生产订单有很多种状态,如CRTD\REL\CNF\TECO等,在生产执行过程中会自动记录与更新生产订单状态,当生产订单执行到后工序时,如何通过订单状态控制业务的发生?
提示: selenium 提供switch_to_alert()方法定位到 alert/confifirm/prompt对话框。
KM(Knowledge Management),是有系统的管理与运用企业的经营智能,透过信息技术加以存储和呈现,并作为企业营运的参考信息。比尔.盖兹在《数字神经系统一以思考的速度经营企业》中对知识管理的定义就是企业智商(Corporate IQ)。企业智商的高低,取决于企业能否广泛地分享与运用信息。
语法错误最常见,并且也容易修复。如:代码中遗漏一个分号。这类错误会阻止脚本的执行。
WordPress 网站怎么关闭自动更新和更新提示?之前不是因为 WordPressP 自动更新导致主题无法正常使用,首页出现“空白模板:索引”。原文:《WordPress 自动更新后出现“空白模板:索引”的解决方法》但是我操作之后发现首页依然是“空白模板”,第一反应会不会是系统又自动更新了。故有此教程。
先来看看,这是Upload-labs靶场的20道CTF文件上传题目。虽然它只是一些题目,但其漏洞原理和利用过程仍值得我们学习。
本文最初发布于 stitcher 博客, 经原作者授权由 InfoQ 中文站翻译并分享。
在PHP的学习过程中,我们会接触到两个概念,一个是错误,一个是异常。啥玩意?他们不是一个东西嘛?如果接触过Java、C#之类的纯面向对象语言的同学,可能对异常是没有什么问题,毕竟所有的问题都可以try...catch来解决。但是像PHP这种从面向过程发展到面向对象的语言来说,错误和异常就是两个完全不同的东西了。
2022最新Wordpress禁止程序插件主题自动检测更新的代码汇总使用wordpress会感觉到后台比较慢,主要原因是wordpress会自动远程连接官网来检测程序、插件、主题是否存在新版本,由于我们这边访问wordpress网站很慢,所以检测更新的远程连接一直在尝试连接,这就导致使用后台的感觉很卡。解决这个问题的方法是禁止wordpress程序、插件、主题的更新检测以及自动更新。
这个程序是想简单一点可以查询到 IP 以及物理地址的工具,但是它有很大的进步空间 自适应程序 就拿来做成了程序,非常轻盈 完整打包 : 4Kb 完全不用担心请求会让服务器负载大
最近因为毕设在搭建接口及数据库环境,使用Apache+MySQL+PHP在阿里云ECS服务器中配置,之前在本地配置过并成功实现,但是在阿里云中却频频出错,记录下配置过程中遇到的坑,方便后来人借鉴参考!
1.软件版本:PHP版本应该从PHP官方提供的下载页面下载,注意不要下载beta版本。 PHP官网下载地址为:http://www.php.net/downloads.php 2.控制脚本访问权限:PHP默认配置允许php脚本程序访问服务器上的任意文件,为避免php脚本访问不该访问的文件,从一定程度上限制了php木马的危害,需设置php只能访问网站目录或者其他必须可访问的目录。 /usr/local/apache2/web/为网站根目录,打开php.ini,安全加固配置方式如下: open_basedi
向下不兼容改动 和 PHP 官方保持一致, 不再支持 PHP7.0 (@matyhtf) 移除 Serialize 模块, 在单独的 ext-serialize 扩展中维护. 废弃原因: 由于 PHP 内核频繁变更, 导致无法实现稳定可用的模块, 与 php serialize 相比没有太大差异化定位 移除 PostgreSQL 模块,在单独的 ext-postgresql 扩展中维护. 废弃原因: PostgreSQL 使用了异步回调方式实现协程调度, 不符合目前内核协程化的统一规划。另外 Postgre
在WP Statistics数据总览中,出现警告提示,但WP Statistics功能正常。
从Java 5.0起,您可以使用java.lang.SuppressWarning注释,来停用与编译单元子集相关的编译警告。
php提示Notice: Undefined index问题,Undefined index:是指你的代码里存在:“变量还未定义、赋值就使用”的错误,这个不是致命错误,不会让你的php代码运行强行中止,但是有潜在的出问题的危险……
能这这警告的提示信息我们可以初步知道是时区问题,这是因为PHP默认获取的时间是格林威治标准时间,所以这个时间会和标准北京时间相差8个小时,对于这个错误我们可以选用下面两个方法之中的一个就可以解决。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
