PHP教程之PHP 5.2/5.3 Hash破绽补钉宣布
php manual(PHP手册)肯定是要从网上下载一个的,它很权威,也很全面,我自己认为它是一本很好的参考书,但是不适合新手当教材使用。 前日有信息显示以后包含PHP、Java、Ruby在内的良多言语版本存在破绽,PHP官方开辟构成员Laruence(新浪微博)暗示进击者可以经由过程机关Hash抵触完成回绝办事进击,并供应了实例。这个进击办法伤害很高,进击本钱也很小,一个台式机可以轻松弄垮数十台、上百台办事器。此破绽一出,相当于随意一个进击者就能够DDoS失落世界上的大局部网站!伤害品级相对是核弹级别。因而,PHP官方开辟组告急宣布了补钉,请人人尽速修补。
PHP方面,<= 5.3.8, <= 5.4.0RC3的一切版本均会受此破绽影响。PHP 5.3.9和PHP 5.4.0已包括了针对此破绽的补钉,但因为两个版本今朝依然在RC形态,没法用于临盆办事器晋级。至于PHP 5.2,官方开辟组暗示不会为了这个破绽宣布新版。
官方今朝供应的处理计划是给本人的PHP情况打一个Patch,5.2和5.3都可使用。Patch地址以下:
https://github.com/laruence/laruence.github.com/tree/master/php-5.2-max-input-vars
利用办法:
1. cd 到 php src,运转: patch -p1 < php-5.2.*-max-input-vars.patch
2. 最新的 PHP 5.3.9-RC4 已修复了本破绽,5.3 的用户可以直接晋级到 5.3.9-RC4 。
固然,假如您不想更新到一个RC版本,那末也能够很复杂的修正下面这个补钉,使用到 5.3 的响应版本上。
Laruence还建议其他言语java, ruby等,请列位也事后想好对策,限制post_size是治本不治标的办法,不外可以用来做一时处理计划。
一时处理计划参考:http://www.54chen.com/php-tech/hashdos.html
另外,微软也已告急宣布了更新,修复了ASP.net上的该破绽:
http://netsecurity.51cto.com/art/201112/310628.htm
查询清单
今朝已知的受影响的言语和版本有::
Java, 一切版本
JRuby <= 1.6.5
PHP <= 5.3.8, <= 5.4.0RC3
Python, 一切版本
Rubinius, 一切版本
Ruby <= 1.8.7-p356
Apache Geronimo, 一切版本
Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22
Oracle Glassfish <= 3.1.1
Jetty, 一切版本
Plone, 一切版本
Rack, 一切版本
V8 JavaScript Engine, 一切版本
不受此影响的言语或修复版本的言语有::
PHP >= 5.3.9, >= 5.4.0RC4
JRuby >= 1.6.5.1
Ruby >= 1.8.7-p357, 1.9.x
Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23
Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)
CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)
熟悉HTML/CSS/JS等网页基本元素,完成阶段可自行制作完整的网页,对元素属性达到熟悉程度 php是动态网站开发的优秀语言,在学习的时候万万不能冒进。在系统的学习前,我认为不应该只是追求实现某种效果,因为即使你复制他人的代码调试成功,实现了你所期望的效果,你也不了解其中的原理。 建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。 开发工具也会慢慢的更专业,每个公司的可能不一样,但是zend studio是个大伙都会用的。 在我安装pear包的时候老是提示,缺少某某文件,才发现 那群extension 的排列是应该有一点的顺序,而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去,只留下我需要使用的扩展。 我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题,通过搜索或是看php手册解决问题后,你会更加深刻的理解它们的工作原理,了解到php配置文件中的一些选项设置。 遇到出错的时候,我经常把错误信息直接复制到 google的搜索栏,一般情况都是能搜到结果的,不过有时候会搜出来一大片英文的出来,这时候就得过滤一下,吧中文的弄出来,挨着式方法。 至于模板嘛,各位高人一直以来就是争论不休,我一只小菜鸟就不加入战团啦,咱们新手还是多学点东西的好。 建议加几个专业的phper的群,当然啦需要说话的人多,一处一点问题能有人回答你的,当然啦要让人回答你的问题,平时就得躲在里面聊天,大家混熟啦,愿意回答你问题的人自然就多啦。 我还是强烈建议自己搭建php环境。因为在搭建的过程中你会遇到一些问题,通过搜索或是看php手册解决问题后,你会更加深刻的理解它们的工作原理,了解到php配置文件中的一些选项设置。 小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。 当然这种网站的会员费就几十块钱。 真正的方向了,如果将来要去开发团队,你一定要学好smarty ,phplib这样的模板引擎, 首先我是坚决反对新手上来就用框架的,因为对底层的东西一点都不了解,造成知识上的真空,会对以后的发展不利。我的观点上手了解下框架就好,代码还是手写。当然啦如果是位别的编程语言的高手的话,这个就另当别论啦。 小鸟是第一次发帖(我习惯潜水的(*^__^*) 嘻嘻……),有错误之处还请大家批评指正,另外,前些日子听人说有高手能用php写驱动程序,真是学无止境,人外有人,天外有天。 我还是推荐用firefox ,配上firebug 插件调试js能省下不受时间。谷歌的浏览器最好也不少用,因为谷歌的大侠们实在是太天才啦,把一些原来的js代码加了一些特效。 建数据库表的时候,int型要输入长度的,其实是个摆设的输入几位都没影响的,只要大于4就行,囧。 没接触过框架的人,也不用害怕,其实框架就是一种命名规范及插件,学会一个框架其余的框架都很好上手的。 学习php的目的往往是为了开发动态网站,phper就业的要求也涵盖了很多。我大致总结为:精通php和mysql
页:
[1]