CNXCT Team Blog

Archive for 01月, 2008

• PHP中UTF-8的困扰,还有可恶的BOM..

  星期六, 01月 5th, 2008

  前些日子,公司发邮件周刊,部分使用Windows English OS 的人返映,他们Outlook收到的是乱码,才意识到自己使用的是GB2312编码,而非国际ISO标准的UTF-8,马上改进,用Microsoft OS 自带的Notepad 直接另存为UTF-8编码,然后PHPMailer 测试发送给自己! 我靠,NND,什么东西,超级乱码,以为自己在PHPMailer里的编码设置错了,立刻检查!发现没错,多次更改测试,还是不可以! 怀疑编辑器有问题,立刻更换更强悍的UltraEdit,果然, 是Notepad另存为的时候,自动生成了BOM码在里面,我靠………. …………..

• MyPHP Forum <= 3.0 (Final) 远程SQL注射攻击

  星期五, 01月 4th, 2008

  MyPHP Forum v3.0 (Final) And Maybe Lower Multiple Sql Injection Vulnerabilities (Mq=Off/On)
  Related Codes: search.php; line 14:
  if($_POST['submit']) {
      $searchtext = $_POST['searchtext'];
      $searchuser = $_POST['searchuser'];
   
      if(!strstr($searchtext, ‘"’)) {
          $keywords = explode(" ", $searchtext);
          for($i = 0; $i < count($keywords); $i++) {
              if($sqladdon != "") {
        [...]

• PHP和XSS跨站攻击(老话题了)

  星期五, 01月 4th, 2008

  国内不少论坛都存在跨站脚本漏洞，例如这里 有一个Google Hack+XSS的攻击例子，针对的是Discuz 4.0.0RC3。国外也很多这样的例子，甚至Google也出现过，不过在12月初时修正了。跨站攻击很容易就可以构造，而且非常隐蔽，不易被查觉（通常盗取信息后马上跳转回原页面）。
  如何攻击，在此不作说明（也不要问我），主要谈谈如何防范。首先，跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的，所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截。针对非法的HTML代码包括单双引号等，可以使用htmlentities() 。

  <?php
  $str = "A ‘quote’ is <b>bold</b>";
   
  // Outputs: A ‘quote’ is <b>bold</b>
  echo htmlentities($str);
   
  // Outputs: A &#039;quote&#039; is <b>bold</b>
  echo htmlentities($str, ENT_QUOTES);
  ?>
  这样可以使非法的脚本失效。
  但是要注意一点，htmlentities()默认编码为 ISO-8859-1，如果你的非法脚本编码为其它，那么可能无法过滤掉，同时浏览器却可以识别和执行。这个问题我先找几个站点测试后再说。
  这里提供一个过滤非法脚本的函数：
  <?
  function RemoveXSS($val) { 
     // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
     // this prevents some character re-spacing such as <java\0script>
     // note that you have [...]

• 恭喜Hello_World(SCY)新婚快乐!

  星期五, 01月 4th, 2008

  各位来宾、各位贵客、邻里乡亲：
  天高任鸟飞，海阔凭鱼跃，在这大有作为的天地里，到处机声隆隆，人欢马跃；稻花飘香，蛙鸣鸟啼，瓜棚传佳话，麦地蝈蝈叫，场院滚金豆，粮囤比山高！
  无农不稳，无工不富，无商不活，改革开放带来活力。市场经济生机勃勃，发展乡镇企业，经巨龙充氧输血。喜看稻菽千重浪，欢声笑语满心窝！
  在希望的田野上，在山花烂漫的季节里，在美好的夏天，在这浓香弥漫农家，我宣布沈小雨(SCY)与丁小红[化名]的婚礼现在开始！（奏乐、鸣鞭炮）……………..

  天作之合 心心相印 永结同心 相亲相爱 百年好合 永浴爱河 佳偶天成 宜室宜家 白头偕老
  百年琴瑟 许订终身 花好月圆 福禄鸳鸯 天缘巧合 美满良缘 郎才女貌 瓜瓞延绵 情投意合
  夫唱妇随 珠联壁合 凤凰于飞 美满家园 琴瑟合鸣 相敬如宾 同德同心 如鼓琴瑟 花开并蒂
  缔结良缘 缘订三生 成家之始 鸳鸯壁合 文定吉祥 姻缘相配 白首成约 终身之盟 盟结良缘

• 08年第一帖,哈!

  星期二, 01月 1st, 2008

  08年第一帖,哈!
  发下本人08年最期待的2部影片!