在我们开发登录模块或者是论坛的灌水模块的时候,为了防止恶意提交,需要用到验证码。验证码就是用来区分人和机器的一种手段,当然这种手段不是万无一失,但总归会起到一些作用。
验证码的实现需要GD库的支持,没有开启GD库的童鞋需开启GD库。
其实验证码的制作和使用非常的简单,仅仅只是需要4个步骤就可以搞定:创建验证码底图,显示验证码内容,增加干扰元素,输出验证码。下面我们来进行步骤拆分:
第一步:创建验证码底图
$image = imagecreatetruecolor(100, 30); // 创建一个宽为 100 高为 30 的底图 该底图的背景色 为黑色 是系统定义的
$bgcolor = imagecolorallocate($image, 255, 255, 255); // 为上面创建的底图分配 白色的背景颜色
imagefill($image, 0, 0, $bgcolor); // 填充白色背景色
第二步:显示验证码内容
// 输出验证码内容
for ($i=0; $i < 4; $i++) {
$fontsize = 6;
$fontcolor = imagecolorallocate($image, rand(0,120), rand(0,120), rand(0,120));
$data = 'qwertyuipkjhgfdsazxcvbnm23456789';
$content = substr($data, rand(0, strlen($data)), 1);
$x = ($i*100/4) + rand(5,9);
$y = rand(5,10);
imagestring($image, $fontsize, $x, $y, $content, $fontcolor); //在图像上水平输出一行字符串
}
第三步:增加干扰元素
// 增加干扰点元素
for ($i=0; $i < 300; $i++) {
$pointcolor = imagecolorallocate($image, rand(50,200), rand(50,200), rand(50,200));
imagesetpixel($image, rand(0,99), rand(0,29), $pointcolor);
}
// 增加干扰线元素 线 和 点 的颜色一定要控制好 要比验证码数字的颜色浅 避免出现验证码数字看不见的现象
for ($i=0; $i < 4; $i++) {
$linecolor = imagecolorallocate($image, rand(100,240), rand(100,240), rand(100,240));
imageline($image, rand(0,99), rand(0,29), rand(0,99), rand(0,29), $linecolor);
}
第四步:输出验证码
// 输出创建的图像 在输出图像之前 必须输出头信息 用来规定输出的图像类型
header("Content-Type: image/png");
imagepng($image);
// 销毁图像
imagedestroy($image);
至此,一个简单的验证码就实现了,关于实现验证码的注意事项已经写在了注释里。
使用验证码的时候,我们一般都需要用session来保存以便验证,在这里就不作详细介绍。
加密php文件对于一些重要的非开源程序都会这样做了,而加密php程序官方有提供一个Zend工具了,下面我们来给各位介绍Zend加密php文件的操作步骤.安装破解版的Zend Guard 6.0软件之后,博主Jhonse哥就尝试给php文件加密。
第一步: 打开Zend Guard 6.0软件
我们只要查看开源的程序几乎都会有下面两段差不多相关的代码,代码的功能就是过滤提交数据中的一些特殊字符了,通常是有post与get了,下面来看看吧.
/**
* 递归方式的对变量中的特殊字符进行转义
*
* @access public
* @param mix $value
*
* @return mix
*/
function addslashes_deep($value)
{
if (empty($value))
{
return $value;
}
else
{
return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);
}
}
使用:
/* 对用户传入的变量进行转义操作。*/
if (!get_magic_quotes_gpc())
{
if (!empty($_GET))
{
$_GET = addslashes_deep($_GET);
}
if (!empty($_POST))
{
$_POST = addslashes_deep($_POST);
}
$_COOKIE = addslashes_deep($_COOKIE);
$_REQUEST = addslashes_deep($_REQUEST);
}
在研究Discuz 的时候,发现Discuz有一套相当完美的加密算法(相对而言)。这个算法可以将数据加密后,储存起来,到需要用的时候,用之前加密的秘钥将之还原。
除了这个之外,还有AES这个算法能够将数据很好的加密起来,在传输过程中不容易被破解。
在PHP中,我们必须先安装好mcrypt这个模块,并且添加相应版本的扩展到php中,详情可以看 不重新编译PHP安装Mcrypt扩展
AES加密模式和填充方式有以下之中,但不是全部
算法/模式/填充 16字节加密后数据长度 不满16字节加密后长度
AES/CBC/NoPadding 16 不支持
AES/CBC/PKCS5Padding 32 16
AES/CBC/ISO10126Padding 32 16
AES/CFB/NoPadding 16 原始数据长度
AES/CFB/PKCS5Padding 32 16
AES/CFB/ISO10126Padding 32 16
AES/ECB/NoPadding 16 不支持
AES/ECB/PKCS5Padding 32 16
AES/ECB/ISO10126Padding 32 16
AES/OFB/NoPadding 16 原始数据长度
AES/OFB/PKCS5Padding 32 16
AES/OFB/ISO10126Padding 32 16
AES/PCBC/NoPadding 16 不支持
AES/PCBC/PKCS5Padding 32 16
AES/PCBC/ISO10126Padding 32 16
下面就是在PHP中使用AES对数据加密
AES-CBC 加密方案
代码如下 | 复制代码 |
<?php //加密 //解密 |
AES-ECB加密方案
代码如下 | 复制代码 |
<?php |
AES-ECB加密方案
代码如下 | 复制代码 |
<?php |
以上只是我列出的简单的3种加密方法,事实上还有很多中方法,需要我们不断的学习。密码学的道路还任重而道远
EVAl函数是一个非常强大的可以直接执行用户提交的php代码了,同时此函数也给黑客常利用到了,所以很多站长都想去禁止此函数,但小编搜索后发现很多朋友对于PHP禁用EVAL函数有错误的理解了,下面小编为各位纠证一下。val()针对php安全来说具有很大的杀伤力 一般不用的情况下 为了防止<?php eval($_POST[cmd]);?> 这样的小马砸门 需要禁止掉的
网上好多说使用disable_functions禁止掉eval 是错误的
其实eval() 是无法用php.ini中的disable_functions禁止掉的 because eval() is a language construct and not a function
eval是zend的 不是PHP_FUNCTION 函数;
php怎么禁止eval:
如果想禁掉eval 可以用 php的扩展 Suhosin
安装Suhosin后在
php.ini 中load进来Suhosin.so 加上suhosin.executor.disable_eval = on即可
linux中suhosin安装方法
代码如下 | 复制代码 |
# cd /usr/local/src |
如果对于部分业务需要运行eval咋办?如果是 PHP 5.3+ 且 CGI/FastCGI 方式运行,可以这么改 php.ini,则可以破例使用 eval
操作方法:
代码如下 | 复制代码 |
suhosin.executor.disable_eval = on |
最后重启php-fpm 即可!