微擎最新版SQL注入

2017-9-28 liyangweb.com 李杨 PHP


简介:

htmlspecialchars_decode 函数对全局过滤gpc产生的 \’ 进行转义,将可控的参数$html的污染值插入数据库后,产生SQL注入漏洞。

路径:

/网站根目录/web/source/site/editor.ctrl.php

披露时间: 

2017-06-02 08:19:47


阿里云给出的解决方案并不是修改此文件,而是修改/网站根目录/web/source/founder/display.ctrl.php


在第14行的如下代码后


$founders = explode(',', $_W['config']['setting']['founder']);

增加

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
    itoast('???????', referer(), 'error');
}

评论(2) 浏览(4122)

在shell脚本中使用expect

2017-9-28 liyangweb.com 李杨 服务器

expect是一个用来处理交互的命令。借助Expect,我们可以将交互过程写在一个脚本上,使之自动化完成。形象的说,ssh登录,ftp登录等都符合交互的定义。

expect有四个关键命令,作用如下:

  • send:用于向进程发送字符串
  • expect:从进程接收字符串
  • spawn:启动新的进程
  • interact:允许用户交互

关于四个命令的详细用法,这里不做过多介绍,网上资料很多,大家可以自行搜索,下面只列举一个最基本的用法,使用shell脚本登录远程服务器:

阅读全文>>

标签: expect

评论(0) 浏览(1977)

jquery解析链接

2017-9-7 liyangweb.com 李杨 JavaScript

有时候我们需要分析一个url,在使用PHP和node.js时都有非常方便的方法/模块,但在JS我好像没发现什么好的方法,通过查找,在jQuery中发现了一个比较方便的方法。

示例如下:

阅读全文>>

标签: Jquery

评论(2) 浏览(1031)

Yii2自动生成接口文档插件 yii2-doc-online

2017-8-29 liyangweb.com 李杨 PHP

    眼下前后端完全分离的开发模式是越来越火,好多项目都直接摒弃了常规的套页面方式,而改用前端控制主要业务逻辑,后端只提供接口数据的模式。这样一来,前后端就需要频繁的沟通接口含义。于是一个好的接口文档总是能事半功倍的,但是后台开发人员开发出接口后,写接口文档又是一个麻烦的事情,费时费力不说,当接口改动时,还要时刻记着去修改接口文档。

    介于本人平时需要开发很多接口,也要写很多文档,于是决定开发一款可以自动生成接口文档的小工具——yii2-doc-online,只要开发人员按照规范写好注释,那么接口文档就会自动生成了。

阅读全文>>

标签: yii2 yii2-doc-online

评论(8) 浏览(3440)

curl出现empty reply from server

2017-7-20 liyangweb.com 李杨 服务器

今天使用curl调用接口的时候,遇到了一个问题,提示empty reply from server,经过查询发现可能会有多种可能导致这种情况,但实际中我遇到情况是接口仅支持https协议,而我调用时使用的是http协议。

其他可能性这里不做深究了,记录一下。

评论(6) 浏览(1772)

使用docker命令时,如何避免使用sudo

2017-7-12 liyangweb.com 李杨 服务器

在我们使用docker的时候,想查看docker下都有哪些镜像,执行命令:

docker images

可结果却给了我们这样的提示:

阅读全文>>

标签: docker

评论(0) 浏览(4777)

windows下编写的shell脚本在linux上报错

2017-7-7 liyangweb.com 李杨 服务器

当在Linux下写好一个脚本之后保存在windows上,在Windows上修改以后再传到Linux上,可能脚本就不能执行了。

阅读全文>>

标签: shell

评论(0) 浏览(1009)

免密码登录linux主机

2017-6-17 liyangweb.com 李杨 服务器

免密码登录的原理是在需要登录的远程主机(下文使用B代指)信任列表里,存放当前机器(下文使用A代指)的公钥。

阅读全文>>

标签: Linux

评论(1) 浏览(1149)

<转>微信素材上传返回提示 "errcode":41005的原因以及以及解决方案

2017-6-12 liyangweb.com 李杨 PHP

【原因】:由于不同php版本导致curl方法用法有所改变导致的

【解决方案】:将自己即将要进行微信请求的数据适当处理一下,如下:
例如未处理的数据如下

$data=array(
    'media'=>'@'.'自己的文件路径'
);


上面的格式微信官方文档也是这样的写的,但是如果你php版本>=5.6后,这种写法就会导致文件无法进行上传到微信服务器最保险的做法如下(兼容所有php版本),将上面的数组作如下处理

if (class_exists('\CURLFile')) {
    $data[$k] = new \CURLFile(realpath($this->getImage($v, $file_name)));
} else {
    $data[$k] = '@'.realpath($this->getImage($v, $file_name));
}
【为什么要这么做?】:

阅读全文>>

标签: 微信

评论(1) 浏览(1248)

linux修改默认时区

2017-6-7 liyangweb.com 李杨 服务器

1.删除原时区文件,或将原时区文件改名备份

sudo mv localtime localtime_bak

2.复制相应的时区文件到指定目录,或建立软连接

sudo ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime


评论(0) 浏览(942)

Powered by emlog 冀ICP备13011830号-1