本文作者：kEvin1986文章性质：原创发布日期：2005-08-14   <% 　　'codz by kEvin1986　　User=Request.Form("User")　　Pass=Request.Form("Pass")　　Popserver=Request.Form("Popserver")　　if User<>"" and Pass<>"" and Popserver<>"" then　　　　Set objmail = CreateObject( "JMail.POP3"...... ......

涉及程序： phpMyAdmin 描述： phpMyAdmin远程PHP代码注入漏洞 &nbsp; 详细： phpMyAdmin是一个免费工具，为管理MySQL提供了一个WWW管理接口。 phpMyAdmin存在PHP代码注入问题，远程攻击者可以利用这个eval()函数执行任意PHP命令。 不过此漏洞只有当$cfg['LeftFrameLight']变量(config.inc.php文件)设置成FALSE时才有用。 phpMyAdmin在($cfg['Servers'][$i])...... ......

Cutenews是一款功能强大的新闻管理系统，使用平坦式文件存储。Cutenews在处理用户提交的请求参数时存在漏洞，远程攻击者可能利用此漏洞在主机上执行任意命令。在管理帐号编辑模板文件的时候，CuteNews不能正确的过滤用户输入。CuteNews从Web表单中获取HTML代码并将其输出到名为<templatename>.tpl的模板文件中。该模板文件包含有类似以下的PHP代码：...... ......

phpMyAdmin ( http://www.phpwizard.net/projects/phpMyAdmin/ ) 是一款管理 MySQL 数据库的 PHP 工具，具有基于 WEB 的界面。但是发现它存在漏洞。可选择安装新发布稳定版本： phpMyAdmin 2.2.0。 1、目录遍历漏洞 攻击者通过提供如下的 URL: http://www.example.com/phpMyAdmin/sql.php?goto=/etc/passwd&btnDrop=No (*) http://www.example.com/phpMyAdmin/tbl_replace.php?db=test&...... ......

网友“小好”给我了一个聊天室ip，让我去看看。原本想入侵它的服务器，大概技术没到家，搞了十几分钟，也没有进去。于是，我就想找找这个聊天室有什么BUG。聊天室看得出是用PHP+MySQL组建的。栏目有：用户注册、 忘记密码、 修改资料、 用户自杀、 聊 神 榜、 聊天说明、 刷新列表 。接着就是聊天了。 我随便注册了一个用户名，按照我的喜好，喜欢开xxxx...... ......

前面象Shaun Clowes和rfp等都比较详细的介绍了php、cgi程序在编程过程中遇到的问题，以及如何通 过应用程序漏洞突破系统，这篇文章我们来通过对php的一些服务器端特性来进行配置加强php的安全。写 cgi脚本的时候我们的确一定注意各种安全问题，对用户输入进行严格的过滤，但是常在岸边走哪有不湿鞋 ，吃烧饼哪有不掉芝麻，人有失蹄马有失手，连著名的php...... ......

数据加密在我们生活中的地位已经越来越重要了，尤其是考虑到在网络上发生的大量交易和传输的大量数据。如果对于采用安全措施有兴趣的话，也一定会有兴趣了解PHP提供的一系列安全功能。在本篇文章中，我们将介绍这些功能，提供一些基本的用法，以便你能够为自己的应用软件中增加安全功能。 　　预备知识 　　在详细介绍PHP的安全功能之前，我们需

Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒， 考虑到了很多方面，我这个文章只是狗尾续貂，补充一些其它没怎么提到的问题。本文侧重于解决问题，而不是 攻击。 1、古老的欺骗SQL语句 在默认模式下，即使是你忘了把php.ini拷到/usr/local/lib/php.ini下，php还是打开magic_quotes_gpc＝on。 这样所有从GET/POST/Cookie来的变量的单引号(')、双

关注安全问题的重要性 看到的远非全部 阻止用户恶意破坏你的程式最有效却经常被忽略的方法是在写代码时就考虑它的可能性。留意代码中可能的安全问题是很重要的。考虑下边的旨在简化用PHP中写入大量文本文件的过程的实例函数： <?php function write_text($filename, $text="") { static $open_files = array(); // 如果文...... ......

PHP最初是被称作Personal Home Page，后来随着PHP成为一种非常流行的脚本语言，名称也随之改变了，叫做Professional HyperText PreProcessor。以PHP4.2为例支持它的WEB服务器有：Apache, Microsoft Internet information Sereve, Microsoft Personal web Server,AOLserver,Netscape Enterprise 等等。 PHP是一种功能强大的语言和解释器，无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的，...... ......