by amxku
2008-09-28
http://www.wolfexp.net

在php中用户的输入数据为 GET、POST 和 COOKIE 三种，一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off，但现在还是有部分在php.ini中将register_globals 的设为on，所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on，在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中，将创建 GET、POST 和 COOKIE 传递到 php 脚本的所有变量。各种变量都被注入代码。再加上 php 在使用变量之前是无需进行初始化的，如果开发人员没有好的编程习惯，这就使得更容易产生一些安全风险。

» 阅读全文

很猥琐的submitjacking，在群里看到的。应该不是owasp里提到的clickjacking，但也挺有意思，OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking。

可参见http://www.planb-security.net/notclickjacking/

在上海呆了快两年了。终于是搬了一次家。

住的地方还不错。交通还算是比较方便吧。小区里也很安静。

搬家还真是个累啊，虽然没几步路，还是累的不行。到现在全身还是酸酸的。记录之。。。

早点睡觉吧。。。

这几天没什么事情，在捣鼓无线。买了个wifly-city，还有天线什么的。秀一下一角

» 阅读全文

Ajax是Asynchronous JavaScript and XML的缩写。AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体，它允许web页面内容飞速地更新而无需刷新页面。在使用AJAX的web页面背后，数据（通常格式化为XML，但也可以是HTML、JavaScript等格式）在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中，新的邮件信息被自动接收和显示。在Google Maps应用场景中，用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面，它也是一些实现了“奇思妙想”的JavaScript。

http://www4.it168.com/jtzt/shenlan/safe/ajax/

先看效果图

» 阅读全文

最近回了趟老家，还是比较爽，没有电话，没有邮件，没有网络。每天听着青蛙的叫声入睡，哈哈。就是爽。明天要回上海了。这估计也是我上班以来休息的时间最长的一次了。
下午，把blog的模板改了改。
唉，这脚本被我改得乱七八糟了，现在升级也升不了了，麻烦。唉。用Yslow测试了一下，好像GZIP没有起来嘛。看了看代码，也没有发现什么问题。Archiver页面竟又有GZIP压缩，就主页没有压缩，唉，搞不明白了。回头有空再看看吧。网上找到一段代码，记录下，有空看看。