zhuxianfei.com

首页 > 编程技术 > php

php破解apache,nginx,iis防盗链图片

发布时间:2016-11-25 17:24

现在多数网站都有防盗链一些简单设置了最常用的就是apache,nginx,iis设置了,那么这种设置是不是不可破的呢,答案是否写了,下面我们一起来看破解方法。

有自己的主机一般都会设计"防盗链", 其实包括图片防盗链,和下载防盗链等,如:

使用.htaccess设置防盗链

 代码如下 复制代码

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?xuexb.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.111cn.net /image.gif [R,L]


nginx设置防盗链

 代码如下 复制代码

location ~* .(gif|jpg|png|swf|flv)$ {
 valid_referers none blocked 111cn.net;
 if ($invalid_referer) {
  rewrite ^/ http://111cn.net /234_s.gif;
  #return 404;
 }
}

但怎么破解防盗链呢? 一般的防盗链是判断来路是否为自己的域名, 我们可以使用 php 内置的 file_get_contents 方法来请求这个图片(当然别的后端语言也有类似的方法), 如:
//getImg.php?url=目标图片连接

 代码如下 复制代码
<?php
header('Content-type: image/jpeg');
echo file_get_contents(isset($_GET["url"])?$_GET["url"]:'http://xxxx域名 /images/v1/loading-16-16.gif');
?>

php代码片段看例子:

1, 直接加载防盗链图片: 

破解防盗链图片
 
2, 通过php读取图片:

破解防盗链图片

微信开发的时候,发现有个重要的变量$postObj,获得了一个xml结构装入的对象里因为用户发来的事件,之前只知道用户发送一个消息,我进行处理。

今天要弄个用户订阅就给推送一个消息的功能,却发现不知道如何判断用户是订阅的操作,还是取消订阅,还是发消息

 代码如下 复制代码

 public function responseMsg()
    {
     global $db;
 //get post data, May be due to the different environments
 $postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
 $postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
 writeover("msg.txt",$postStr."rn","a+");
。。。。。。
  }

发现$postStr是之前没有封装的字符串,直接打印,即可知道用户的行为了。

测试输出的文件如下

 代码如下 复制代码

<xml><ToUserName><![CDATA[gh_a64528aca3b]]></ToUserName>
<FromUserName><![CDATA[oSgH_jveTxJSlFK_6QSiGeVaSyk]]></FromUserName>
<CreateTime>1394705044</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[ha]]></Content>
<MsgId>5990212551746www.111cn.net353512</MsgId>
</xml>

MsgType即可判断用户行为text表示用户输入了一条文本信息。
如果是订阅,那么就是event 大家自己测试吧。

一个新用户关注公众账号发送的消息的例子

 代码如下 复制代码
<xml><ToUserName><![CDATA[gh_a5218aca3b]]></ToUserName>
<FromUserName><![CDATA[oSgH_jveTxJSlFK_6QSiGeVyk]]></FromUserName>
<CreateTime>1394706271</CreateTime>
<MsgType><![CDATA[event]]></MsgType>
<Event><![CDATA[subscribe]]></Event>
<EventKey><![CDATA[]]></EventKey>
</xml>

这样就可以得到具体的事件类型了。

$msgtype = $postObj->MsgType;能判断用户的行为,后续的操作就方便多了。

附上写入日志文件的代码

/*
‘r’ 只读方式打开,将文件指针指向文件头。
‘r+’ 读写方式打开,将文件指针指向文件头。
‘w’ 写入方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。
‘w+’ 读写方式打开,将文件指针指向文件头并将文件大小截为零。如果文件不存在则尝试创建之。
‘a’ 写入方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。
‘a+’ 读写方式打开,将文件指针指向文件末尾。如果文件不存在则尝试创建之。
*/

 代码如下 复制代码
function writeover2($filename,$data,$method="rb+",$iflock=1)
{
    @touch($filename);/*文件不存在则创建之.可以采用file_exists验证并其他创建文件函数代替.测试结果效率相当*/
    $handle=@fopen($filename,$method);
    if($iflock){
        flock($handle,LOCK_EX);
    }
    fwrite($handle,$data);
    if($method=="rb+") ftruncate($handle,strlen($data));
    fclose($handle);
}
在Drupal 7 以后我们可以轻松使用类似模态框的overlay模块来实现一个弹出层。下面我介绍2个实例,如何自定义扩展Overlay。

Drupal overlay examples
扩展 Overlay 模块头部显示用户头像实例
在你的自定义模块中加入overlay脚本JS文件,通过overlay的钩子:

 代码如下 复制代码

function mymodule_overlay_child_initialize() {
  // Add our custom JavaScript.
  drupal_add_js(drupal_get_path('module', 'mymodule') . '/overlay-child.js');
}然后通过Add JS 头像路径到header中。

/**
 * @see hook_js_alter().
 */
function yourtheme_js_alter(&$javascript) {
  global $theme, $user;
  if (isset($user->picture) && is_string($user->picture)) {
    $picture = file_load($user->picture);
  } www.111cn.net
  elseif (isset($user->picture) && is_object($user->picture)) {
    $picture = $user->picture;
  }
  if (isset($picture) && $picture && isset($picture->uri)) {
    $filepath = file_create_url($picture->uri);
    $javascript['settings']['data'][]['user_picture'] = $filepath;
  }
}

在overlay-child.js文件中加入以下Javascript 代码:

 代码如下 复制代码

(function ($) {
    Drupal.behaviors.yourmodule = {
        attach: function (context) {
            $('#overlay:not(.your-module-adjusted)', context).each(function() {
                if (Drupal.settings.user_picture) {
                    $('#overlay-titlebar', this).css('padding-left', 0);
                    $('#overlay-title-wrapper', this).find('h1#overlay-title').prepend('<img" width=100% src="'+Drupal.settings.user_picture+'" />');
                }
            }).addClass('your-module-adjusted');
            $('.overlay .footer').hide();
        }
    };
})(jQuery);

完成后,你就可以看到如上面的图片的效果。

修改overlay覆盖层的宽度和隐藏元素实例
下面这个例子向你展示如何修改overlay (覆盖层) 内的内容,当一个指定的节点类型(test)被展示在overlay 覆盖层。这个脚本向你展示修改overlay层的宽度为450px 和 隐藏一些不想见到的元素。


在你的模块中同样需要想上面的例子那样加入overlay-child.js脚本。

在overlay-child.js文件中加入以下Javascript 代码:

 代码如下 复制代码

(function ($) {
  // Adjust the overlay dimensions.
  Drupal.behaviors.myModule = {
    attach: function (context) {
      $('#overlay:not(.mymodule-adjusted)', context).each(function() {
        var $test = $(this).find('.node-type-test');
        if ($test.length){
          // adjust the overlay
          $(this).css({
            'width'     : '450px',
            'min-width' : '450px'
          });www.111cn.net
          $('.add-or-remove-shortcuts', this).hide();  // hide "add short-cut" button
          $('#branding', this).hide();  // hide branding container
        }
      }).addClass('mymodule-adjusted');
    }
  };
})(jQuery);


如果你想修改所有overlay层里的布局,请找到overlay.tpl.php然后修改它。

 

利用php中的preg_replace正则匹配函数过滤掉网页中的js代码,preg_replace()中的第四个参数中表示替换的次数,默认是-1,表示替换全部;如果只想替换2次,可以写为 preg_replace($p1,$p2,$p3,2)。

匹配的规则不能用 "//<script.*<//script>//i",因为它不能匹配到换行符,那么多行js就匹配不掉了。要用 "//<script[sS]*?<//script>//i"。里面的?表示尽可能少重复,也就是匹配最近的一个<//script>。

源码范例:

php匹配js

 代码如下 复制代码

<?php

 

 header("Content-type:text//html;charset=utf-8");

 $str = '<script type="text//javascript"" width=100% src="dd.js"><//script>

测试php正则匹配掉js代码<script type="text//javascript"" width=100% src="123.js"><//script>

<script type="text//javascript">

 var aa = "sdsds";

 alert(aa);

<//script>

测试php正则匹配掉js代码';

 www.111Cn.net


 $preg = "//<script[sS]*?<//script>//i";

 $newstr = preg_replace($preg,"",$str,3);    ////第四个参数中的3表示替换3次,默认是-1,替换全部

 echo $newstr;

 


?>
今天在调试腾讯微博接口时,出现一个错误,找了网上都没有相关资料,最后自己调通了,故发布此博文,避免各位phper重复造轮子。

错误信息:

 代码如下 复制代码

stdClass Object
(
    [data] =>
    [detailerrinfo] => stdClass Object
        (
            [accesstoken] =>
            [apiname] => www.111cn.net
            [appkey] => 801485800
            [clientip] => 112.193.138.133
            [cmd] => 0
            [proctime] => 0
            [ret1] => 3
            [ret2] => 3
            [ret3] => 102
            [ret4] => 3659629834
            [timestamp] => 1394436892
        )

    [errcode] => 102
    [msg] => missing parameter
    [ret] => 3
    [seqid] => 1394436894
)


在腾讯微博开放平台的官方资料中,未发现解释此错误代码102的开发文档。经过与腾讯微博PHP SDK对比后发现少了一个参数。

解决错误代码102的办法
在请求用户资料的参数中oauth_version是必填的,而且在OAuth2中,它的值必须为2.a。

请求的参数中,OAuth2部分需包含:

字段 说明

 代码如下 复制代码

oauth_consumer_key appkey
access_token 授权获得的accesstoken
openid 授权获取的openid
clientip 客户端的ip
oauth_version 版本号,必须为2.a
scope 请求权限范围(默认“all”)

Drupal 腾讯微博登录实例代码
$http = drupal_http_request(url('https://open.t.qq.com/api/user/info', array(
  'query' => array(
    'access_token' => $access_token,
    'oauth_consumer_key' => $provider['key'],
    'openid' => $_GET['openid'],
    'clientip' => ip_address(),
    'scope' => 'all',
    'seqid' => REQUEST_TIME,
    'serverip' => $_SERVER['SERVER_ADDR'],
    'oauth_version' => '2.a',
    //'appfrom' => 'php-sdk2.0beta',
  ),
)));

注意:

加上字段后需要重新从登录页面重新授权一次,不然会出现错误“check sign error” 错误代码36。


以下重复刷新接口导致的签名错误返回值:

 代码如下 复制代码

stdClass Object
(
    [data] =>
    [detailerrinfo] => stdClass Object
        (
            [accesstoken] =>
            [apiname] => weibo.user.info
            [appkey] => 801485800
            [clientip] => 112.193.138.133
            [cmd] => 0
            [proctime] => 0
            [ret1] => 3
            [ret2] => 3
            [ret3] => 36
            [ret4] => 2636350730
            [timestamp] => 1394437225
        )

    [errcode] => 36
    [msg] => check sign error
    [ret] => 3
    [seqid] => 1394437227
)

获取腾讯微博用户资料
获取当前登录用户的个人资料 user/info 接口返回值的字段说明:

 代码如下 复制代码
{
 errcode : 返回错误码,
 msg : 错误信息,
 ret : 返回值,0-成功,非0-失败,
 data :
 {
  birth_day : 出生天,
  birth_month : 出生月,
  birth_year : 出生年,
  city_code : 城市id,
  comp :
  {
   begin_year : 开始年,
   company_name : 公司名称,
   department_name : 部门名称,
   end_year : 结束年,
   id : 公司id
  },
  country_code : 国家id,
  edu : 教育信息
  {
   departmentid : 院系id,
   id : 教育信息记录id,
   level : 学历级别,
   schoolid : 学校id,
   year : 入学年
  },
  fansnum : 听众数,
  favnum : 收藏数,
  head : 头像url,
  homecity_code : 家乡所在城市id,
  homecountry_code : 家乡所在国家id,
  homepage : 个人主页,
  homeprovince_code : 家乡所在省id,
  hometown_code : 家乡所在城镇id,
  idolnum : 收听的人数,
  industry_code : 行业id,
  introduction : 个人介绍,
  isent : 是否企业机构,
  ismyblack : 是否在当前用户的黑名单中,0-不是,1-是,
  ismyfans : 是否是当前用户的听众,0-不是,1-是,
  ismyidol : 是否是当前用户的偶像,0-不是,1-是,
  isrealname : 是否实名认证,1-已实名认证,2-未实名认证,
  isvip : 是否认证用户,0-不是,1-是,
  location : 所在地,
  mutual_fans_num : 互听好友数,
  name : 用户帐户名,
  nick : 用户昵称,
  openid : 用户唯一id,与name相对应,
  province_code : 地区id,
  regtime : 注册时间,
  send_private_flag : 是否允许所有人给当前用户发私信,0-仅有偶像,1-名人+听众,2-所有人,
  sex : 用户性别,1-男,2-女,0-未填写,
  tag : 标签
  {
   id : 个人标签id,
   name : 标签名
  },
  tweetinfo : 最近的一条原创微博信息
  {
   city_code : 城市码,
   country_code : 国家码,
   emotiontype : 心情类型,
   emotionurl : 心情图片url,
   from : 来源,
   fromurl : 来源url,
   geo : 地理位置信息,
   id : 微博唯一id,
   image : 图片url列表,
   latitude : 纬度,
   location : 发表者所在地,
   longitude : 经度,
   music : 音频信息
   {
    author : 演唱者,
    url : 音频地址,
    title : 音频名字,歌名
   },
   origtext : 原始内容,
   province_code : 省份码,
   self : 是否自已发的的微博,0-不是,1-是,
   status : 微博状态,0-正常,1-系统删除,2-审核中,3-用户删除,4-根删除,
   text : 微博内容,
   timestamp : 服务器时间戳,不能用于翻页,
   type : 微博类型,1-原创发表,2-转载,3-私信,4-回复,5-空回,6-提及,7-评论,
   video : 视频信息
   {
    picurl : 缩略图,
    player : 播放器地址,
    realurl : 视频原地址,
    shorturl : 视频的短url,
    title : 视频标题
   }
  },
  tweetnum : 发表的微博数,
  verifyinfo : 认证信息,
  exp : 经验值,
  level : 微博等级
 },
 seqid : 序列号
}

剩下的事就非常容易了,处理你自己程序部分的逻辑业务。

 

标签:[!--infotagslink--]

您可能感兴趣的文章: