推薦：如何用php過濾危險html代碼
用PHP過濾html里可能被利用來引入外部危險內(nèi)容的代碼。有些時候，需要讓用戶提交html內(nèi)容，以便豐富用戶發(fā)布的信息，當然，有些可能造成顯示頁面布局混亂的代碼也在過濾范圍內(nèi)。 #用戶發(fā)布的html,過濾危險代碼 function uh(str) { farr = array( /\s+/, //

PHP Token(令牌)設計

設計目標:

1. 避免重復提交數(shù)據(jù).
2. 檢查來路,是否是外部提交
3. 匹配要執(zhí)行的動作(如果有多個邏輯在同一個頁面實現(xiàn),比如新增,刪除,修改放到一個PHP文件里操作)

這里所說的token是在頁面顯示的時候,寫到FORM的一個隱藏表單項(type=hidden).
token不可明文,如果是明文,那就太危險了,所以要采用一定的加密方式.密文要可逆.俺算法很白癡,所以采用了網(wǎng)上一個現(xiàn)成的方法.

如何達到目的:

1. 怎樣避免重復提交?
   在SESSION里要存一個數(shù)組,這個數(shù)組存放以經(jīng)成功提交的token.在后臺處理時,先判斷這個token是否在這個數(shù)組里,如果存在,說明是重復提交.
2. 如何檢查來路?
   可選項,這個token在生成的時候,加入了當前的session_id.如果別人copy你的html(token一迸copy),在提交時,理論上token里包含的session_id不等于當前session_id,就可以判斷這次提交是外部提交.
3. 如何匹配要執(zhí)行的動作?
   在token的時候,要把這個token的動作名稱寫進這個token里,這樣,在處理的時候,把這個動作解出來進行比較就行了.

我以前寫的GToken不能達到上面所說的第二條,今天修改了一下,把功能2加上了.個人感覺還行.

 

請大家看代碼,感覺哪里有不合理的地方,還請賜教!謝謝.

加密我是找的網(wǎng)上的一個方法,稍作了一下修改.

GEncrypt.inc.php:

<?php
class GEncrypt extends GSuperclass {
protected static function keyED(txt,encrypt_key){
encrypt_key = md5(encrypt_key);
ctr=0;
tmp = "";
for (i=0;i<strlen(txt);i++){
if (ctr==strlen(encrypt_key)) ctr=0;
tmp.= substr(txt,i,1) ^ substr(encrypt_key,ctr,1);
ctr++;
}
return tmp;
}

public static function encrypt(txt,key){
//encrypt_key = md5(rand(0,32000));
encrypt_key = md5(((float) date("YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));
ctr=0;
tmp = "";
for (i=0;i<strlen(txt);i++){
if (ctr==strlen(encrypt_key)) ctr=0;
tmp.= substr(encrypt_key,ctr,1) . (substr(txt,i,1) ^ substr(encrypt_key,ctr,1));
ctr++;
}
return base64_encode(self::keyED(tmp,key));
}

public static function decrypt(txt,key){
txt = self::keyED( base64_decode(txt),key);
tmp = "";
for (i=0;i<strlen(txt);i++){
md5 = substr(txt,i,1);
i++;
tmp.= (substr(txt,i,1) ^ md5);
}
return tmp;
}
}
?>

分享：php實現(xiàn)頁面GZIP壓縮輸出
餅干是這樣壓縮的——PHP使用zlib擴展實現(xiàn)頁面GZIP壓縮輸出 GZIP（GNU-ZIP）是一種壓縮技術。經(jīng)過GZIP壓縮后頁面大小可以變?yōu)樵瓉淼?0%甚至更