仓酷云

标题: PHP教程之PHP 5.2/5.3 Hash破绽补钉宣布 [打印本页]

作者: 第二个灵魂    时间: 2015-2-3 23:33
标题: PHP教程之PHP 5.2/5.3 Hash破绽补钉宣布
php   manual(PHP手册)肯定是要从网上下载一个的,它很权威,也很全面,我自己认为它是一本很好的参考书,但是不适合新手当教材使用。      前日有信息显示以后包含PHP、Java、Ruby在内的良多言语版本存在破绽,PHP官方开辟构成员Laruence(新浪微博)暗示进击者可以经由过程机关Hash抵触完成回绝办事进击,并供应了实例。这个进击办法伤害很高,进击本钱也很小,一个台式机可以轻松弄垮数十台、上百台办事器。
    此破绽一出,相当于随意一个进击者就能够DDoS失落世界上的大局部网站!伤害品级相对是核弹级别。因而,PHP官方开辟组告急宣布了补钉,请人人尽速修补。
    PHP方面,<= 5.3.8, <= 5.4.0RC3的一切版本均会受此破绽影响。PHP 5.3.9和PHP 5.4.0已包括了针对此破绽的补钉,但因为两个版本今朝依然在RC形态,没法用于临盆办事器晋级。至于PHP 5.2,官方开辟组暗示不会为了这个破绽宣布新版。
    
  
PHP教程之PHP 5.2/5.3 Hash破绽补钉宣布
登录/注册后可看大图

   
    官方今朝供应的处理计划是给本人的PHP情况打一个Patch,5.2和5.3都可使用。Patch地址以下:
    https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
    利用办法:
    1. cd 到 php src,运转: patch -p1 < php-5.2.*-max-input-vars.patch
    2. 最新的 PHP 5.3.9-RC4 已修复了本破绽,5.3 的用户可以直接晋级到 5.3.9-RC4 。
    固然,假如您不想更新到一个RC版本,那末也能够很复杂的修正下面这个补钉,使用到 5.3 的响应版本上。
    Laruence还建议其他言语java, ruby等,请列位也事后想好对策,限制post_size是治本不治标的办法,不外可以用来做一时处理计划。
    一时处理计划参考:http://www.54chen.com/php-tech/hashdos.html
    另外,微软也已告急宣布了更新,修复了ASP.net上的该破绽:
    http://netsecurity.51cto.com/art/201112/310628.htm
    查询清单
    今朝已知的受影响的言语和版本有::
    Java, 一切版本
    JRuby <= 1.6.5
    PHP <= 5.3.8, <= 5.4.0RC3
    Python, 一切版本
    Rubinius, 一切版本
    Ruby <= 1.8.7-p356
    Apache Geronimo, 一切版本
    Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
    Oracle Glassfish <= 3.1.1
    Jetty, 一切版本
    Plone, 一切版本
    Rack, 一切版本
    V8 JavaScript Engine, 一切版本
    不受此影响的言语或修复版本的言语有::
    PHP >= 5.3.9, >= 5.4.0RC4
    JRuby >= 1.6.5.1
    Ruby >= 1.8.7-p357, 1.9.x
    Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
    Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
    CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)
熟悉HTML/CSS/JS等网页基本元素,完成阶段可自行制作完整的网页,对元素属性达到熟悉程度
作者: 冷月葬花魂    时间: 2015-2-4 02:07
php是动态网站开发的优秀语言,在学习的时候万万不能冒进。在系统的学习前,我认为不应该只是追求实现某种效果,因为即使你复制他人的代码调试成功,实现了你所期望的效果,你也不了解其中的原理。
作者: 不帅    时间: 2015-2-9 10:34
建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。
作者: 飘灵儿    时间: 2015-2-24 02:08
开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。
作者: 再现理想    时间: 2015-2-28 20:01
在我安装pear包的时候老是提示,缺少某某文件,才发现 那群extension 的排列是应该有一点的顺序,而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去,只留下我需要使用的扩展。
作者: 深爱那片海    时间: 2015-3-10 07:50
我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题,通过搜索或是看php手册解决问题后,你会更加深刻的理解它们的工作原理,了解到php配置文件中的一些选项设置。
作者: 活着的死人    时间: 2015-3-11 15:36
遇到出错的时候,我经常把错误信息直接复制到 google的搜索栏,一般情况都是能搜到结果的,不过有时候会搜出来一大片英文的出来,这时候就得过滤一下,吧中文的弄出来,挨着式方法。
作者: 若天明    时间: 2015-3-11 18:28
至于模板嘛,各位高人一直以来就是争论不休,我一只小菜鸟就不加入战团啦,咱们新手还是多学点东西的好。
作者: 兰色精灵    时间: 2015-3-18 09:13
建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。
作者: 透明    时间: 2015-3-22 05:10
我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题,通过搜索或是看php手册解决问题后,你会更加深刻的理解它们的工作原理,了解到php配置文件中的一些选项设置。
作者: 金色的骷髅    时间: 2015-3-27 08:09
小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。
作者: 精灵巫婆    时间: 2015-4-2 15:56
当然这种网站的会员费就几十块钱。
作者: 莫相离    时间: 2015-4-7 11:23
真正的方向了,如果将来要去开发团队,你一定要学好smarty ,phplib这样的模板引擎,
作者: 山那边是海    时间: 2015-4-8 01:58
首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。
作者: 老尸    时间: 2015-5-1 19:47
小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。
作者: 再见西城    时间: 2015-5-7 13:40
我还是推荐用firefox ,配上firebug 插件调试js能省下不受时间。谷歌的浏览器最好也不少用,因为谷歌的大侠们实在是太天才啦,把一些原来的js代码加了一些特效。
作者: 小女巫    时间: 2015-6-6 01:17
建数据库表的时候,int型要输入长度的,其实是个摆设的输入几位都没影响的,只要大于4就行,囧。
作者: 乐观    时间: 2015-6-11 17:09
没接触过框架的人,也不用害怕,其实框架就是一种命名规范及插件,学会一个框架其余的框架都很好上手的。
作者: 海妖    时间: 2015-6-22 04:17
学习php的目的往往是为了开发动态网站,phper就业的要求也涵盖了很多。我大致总结为:精通php和mysql




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2