为有人不断给提起是盖戏。2、不信任用户。

2014年10月25日 update:

今晚重整博客,重看自己于2011年5月12日写的当下首文章,5月12日:一个承载着一个国沉重的惨痛的光景,一个争议性的人物,三年过去了,于变化,于方其人,于本人,文章最后提到的「魔」,那个谭姓的既成都口碑载道市民,那个雄厚声音之浦姓律师,都早已成为了第一字、身陷囹圄。
颇多感慨,余不一一,重发在简书。

1、不信赖表单

**2013年6月,南方周末记者曾经关系自身,叫自己说了叙对于方滨兴的意,又写了千篇一律首《回记者信:关于方滨兴的一部分意》,后南周发表了同篇争议性的通讯[《南方周末

方滨兴的墙壁内墙外》](https://link.jianshu.com?t=http://www.infzm.com/content/92480),个人对于方滨兴的看法依旧没有太多变化,这过去一年,自己的服务器两次被GFW干扰,来了北京,从事开发工作,依旧严重感受到这堵墙对我们日常工作和生活的影响。**

于一般的Javascript前大证,由于无法获知用户的行,例如关闭了浏览器的javascript引擎,这样经过POST恶意数据到服务器。需要在服务器端进行认证,对每个php脚本验证传递到的数量,防止XSS攻击与SQL注入

2011年原文:

今天上午,被名“网络防火墙的大”的中科院院士、北京邮电大学校长方滨兴在我们与大管理学院会议厅进行了主题也《漫谈网络安全和国安战略》的讲座。趁着今天尚未课,写一篇文章,说一下温馨关于今天讲座的部分想想。

所以google实时寻找了转“方滨兴”,大家自然会好奇地发现这人之名字给人提起的效率也未低。

以互联网这世界,有人不断给人提起是因她们于这圈子叱咤风云,马化腾、马云之类,也有人不断为提起是坐戏,芙蓉姐姐、凤姐和五长长的杠队长,而方滨兴到底是何许人也?他从不身家显赫、也与游戏沾不达啊边,但为何他接连为人提起?

图片 1

哪位是方滨兴?一个科研成果丰硕的院士?一个中华重要高校之校长?还是?在这里,先附上维基百科

<a
href=”http://zh.wikipedia.org/wiki/%E6%96%B9%E6%BB%A8%E5%85%B4"&gt;http://zh.wikipedia.org/wiki/%E6%96%B9%E6%BB%A8%E5%85%B4&lt;/a&gt;
,这里所有这个传奇人物的详细资料。

中国罗网防火墙的大,只要你上网,你就是还是多要有失让这人口影响,twitter和facebook的遮掩,google服务之于搅,搜索“胡萝卜”时屏幕上淡的“该页无法出示”,无一例外与之人口以及他所得到的做事战果有不可分割的关系。

由于众所周知的缘由,我们的朝对互联网进行了情审批及过滤,感谢在校长等的任劳任怨努力,我们中华不要置疑地以“网络内容审批及过滤系统”方面取得了世道领军者的位置,我们的Great
firewall技术绝对让“美帝”也佩服,成为埃及、突尼斯、利比亚之流网络监管部门学习之好则,比较尴尬地是就几乎独国并未学好,还是挂了。

图片 2

说实话,讲座的身分无强,近三独小时的讲座,中途离场的人多,睡着的口吗不丢,方滨兴的最主要内容要还是当漫谈一些基础之大网安全技能,恐怕非小心走错门的同桌还以为马上是于执教,技术界的物太多,较为干燥,亮点是外实地演示了侵略一个普通用户的计算机,监控者无辜用户之摄像头、还将他的文本夹翻了单总体。

昨天晚上才得知今天外要是来讲座的信,很是兴奋,一凡是久仰了“方滨兴”的芳名,像咱这种小民能见到名人,自然免不了动,当然,一开始了解他的名为这个“大名”是单“臭名”或者“骂名”。二凡是怀念使这个时机领取一个题目:“GFW的白名单系统啊时候开始实行?”,借机看看这个顶层人士能够露出发什么风声,遗憾之是,最后之讲座成了报告会,没有交流,主持人就径直say
bye让大家吃去饭了。

本身好互联网,崇尚互联网那种“开放、自由、分享”的旺盛,加上是只技巧控,老是折腾,经常索要看国外的一部分东西,也急需因此国外的一对网络产品,使用gmail当邮箱,使用google
reader当阅读器看资讯,使用dropbox同步重要文件,上twitter看八卦,上youtube看使命召唤的视频。

自我基本算是见证了这些活怎么走向死亡或者残疾:

twiiter被封的上,我没关系反应,因为就要是高考也不翼而飞上网;facebook被封的时候自己哉不曾什么影响,上面无几单好友,再说就同学等也都于人人网偷菜,自己一个人数当FB也最孤独;youtube被封闭的时光,我起接触小郁闷了,因为看不到每周更新的COD游戏视频了,最后当google退出中国吃封闭的下,我郁闷了,gmail经常无法登陆,google
reader时不时断开链接,就连摸索“胡萝卜炒蛋”的时节还深受重置,手机android市场创新一下软件都总是不齐。

事先一直看会忍心便忍,每年花一百基本上进货翻墙用的账号为罢了,就当效技术之学费,心想:“中国于今在改革期,转型期,需要安静,这些过滤与屏蔽措施还是必不可少的”,心想自己总是能够生出艺术化解这些题目,翻墙,代理服务器什么的,上有政策,我产生预谋,可是后来愈发严厉的复核和屏蔽,已经不行惨重地影响我的一对面,最后,在此间,先说一样下fuck
GFW。

图片 3

今天讲座的时,我专门带来及了图书,找了一个起电源的岗位,通过wifi上网,顺便挂在SSH翻墙,上面方滨兴提到什么,我还见面即刻采取google搜索相关材料,验证真实性,在此地还得感谢一下跟大之网络还确确实实给力。并且开始在麦库记录自己之随想,当然,还有直达twitter(真想刺激一下方校长)。

图片 4

<strong>国外的体系及我们的网</strong>

正在在最后半个钟头,终于说到了网审批,他屡屡提到了成立对过滤系统的合理,方言:“我们现之复核过滤系统是情理之中而必要之,我们特意做过调查,google在180只国都产生过滤系统(期间在演示了google德国搜索“希特勒”的一个<a
href=”http://baike.baidu.com/view/1013452.htm"&gt;寒蝉效应&lt;/a&gt;案例”),他们也对内容进行审核”,另外还提到绿坝,说除了中国,韩国,澳大利亚,德国也有绿坝类似的软件”,不难看出,他的推理逻辑为:“因为国外也有,所以我们有是正常的、合理的”。

此地正在这种意见存在推理错误,即“窃取论点”和“偷换论题”,他需征的华夏底审核系统是否<strong>合理</strong>,而非是<strong>应不应该有</strong>审核系统,方要通过证据证明那个华“审核系统是成立的”观点,他倒是先使国外“审核系统是理所当然的”,然后通过结论证明了如。再说人家那系统及你及时系统是一模一样吗!!!!?

确实,google在180大抵独邦还发过滤系统,可是人家要过滤什么,是产生学步骤,有次序,不像咱,二话不说,出现敏感词,直接封杀。google在大部国,对于色情信息,种族歧视,明显的犯罪信息都来过滤,说到当下,我还纳闷google搜一些日本坤爱情动作片演员的讳都格外,神马波多野结衣啊,松岛枫啊,苍井空啊我都非知情,逼着自己用百度。

当此间说一下方教提出得google <a
href=”http://chillingeffects.org/"&gt;寒蝉效应组织&lt;/a&gt;,误解人家就不说了,请不要诬蔑人家。大家英文理解下面这段寒蝉组织官方声明应该没问题,就不翻译了。
<blockquote>Chilling Effects aims to help you understand the
protections that the First Amendment and intellectual property laws give
to your online activities. We are excited about the new opportunities
the Internet offers individuals to express their views, parody
politicians, celebrate their favorite movie stars, or criticize
businesses. But we’ve noticed that not everyone feels the same way.
Anecdotal evidence suggests that some individuals and corporations are
using intellectual property and other laws to silence other online
users. Chilling Effects encourages respect for intellectual property
law, while frowning on its misuse to “chill” legitimate
activity.</blockquote>
<strong>谈谈利比亚</strong>

方滨兴今天以讲座及重复提到利比亚,其在此话题上之意早已经引起争议。

求看方滨兴在北京邮电大学2011至毕业会上之发言<a
href=”http://www.univs.cn/newweb/channels/campus2009/2011-03-31/1301534837d972507.html"&gt;《寄语研究生:常怀爱国之心
常抒爱国的内容》(点击可以打开)。</a>

那个观点,无非也就算是“西方亡华之心毋生,资本主义罪恶”的比较经典的《环球时报》思想。认为西方别有用心,阴谋论,什么事还发出发生对策有计划之。

当场听到方滨兴出口这种看法,还是比较遗憾,尤其是方滨兴还是作为一个高校的校长的身份,方是一个理科生,哈工大,中科院,科研技术上自让人敬佩,可是人文素养及,是当凡不敢恭维。

对此利比亚,CCTV这次的报导还算是客气,如果北约南联盟那一代是90划分反面宣传,伊拉克战火是80瓜分反面宣传,这次好不容易得达是60分割反面宣传了,一个国际舆论在那里,中国也非敢明在支持卡扎菲,感谢新媒体,让更多人懂了累累真想,政府想再单宣传呢非敢随便了,卡扎菲过去之举措虽背着了,2011年就本着境内公众的组成部分议论,就值得进行推翻。

每当此地提及一个概念,在国际法中,有一个R2P法则,即<a
href=”http://www.responsibilitytoprotect.org/"&gt;Responisiblity to
protect</a>,国家保障义务,当某国政府显然地吃民众遭遇反人类罪的威慑,而本国的万众没能力对这种威慑进行抗之早晚,其他国家发出责任进行干预。

今方滨盛行还说到马上实际上是利比亚境内的部族冲突,属于内政,不承诺干涉,对于那些拿“这是他们国家的内政,其他国家免该干涉”的食指,我眷恋还说一下,1994年时有发生在非洲卢旺达的部族冲突,胡图族对图西族及胡图族温和派有集体的种族灭绝大屠杀共促成80万交100万人数死亡。20年无顶啊,同学,你当时吧就是4、5春秋啊,同学(对于90继),不少与你同样好的图西族小孩,就直给砍伐刀给砍死了,同学!当然,这还是是她们之内政,那同样破,联合国“政治科学”选择了消极态度,西方选择了不干预,结果是啊?近100万长条人命啊!!!这是人类“文明社会”的污辱。

<strong>科研道德</strong>

今在讲座的过程被,面对眼前讲台上生侃侃而摆的食指,我豁然想到了“科研道德”这个定义,我弗晓得针对这个词之概念是呀,就自我清楚,就是家、研究者在开展学术研究、科技研究的历程遭到,到底应什么道德准则,他们之研究成果对于人类社会到底有什么意思?是否应该发生一个底线?

讲座之前,我同同桌说,方是人,可以说凡是“祸国殃民”,制造的是愚民工具。想以此题目的时候,我想开那些军工企业,那些军事发明家,他们开的凡兵,武器:在纳粹德国的武装手上,可以杀千万人数,可在那些反抗者手里,又能抵抗侵略者。可是方的此系统?除了屏蔽敏感内容,成为最为有技术含量的愚民工具?他其余一个方面打算来差不多大啊?

还是,正如方滨兴今天连续说的“道高一尺魔高一步”那样,每一样糟糕防火墙的升迁,都能够激起破墙者向越来越僵硬的墙发出挑战,寻找漏洞。孰道孰魔,在是魔界,魔才是实在的“道”吧。

按没有墙,人站于片边,墙便来了。欲破之,另一面的人头恢复就可以了。

<strong>我们是不是用F*ck 方?</strong>

图片 5

讲座途中,我作了相同长微博:

实质上我道#方滨兴#啊坏无辜的,一个施科研的,成为一个使得人反感系统的代言人,众矢之的,背及骂名,但是自眷恋这些将科研的凡勿是相应要是发生硌#科研伦理#,也许方校长的境界很高,我们这些体会无交,人在江湖,身不由本人。

古龙的小说浓缩起来就是“人在江湖,身不由自己”,大江大湖,中国斯江湖是乱的,从已经乱走向逐步的秩序以及法纪,我无能为力体会方院长站在他好高度所思的物,科学研究本是中立,是个清水衙门,负责网络的机关也是遵照点有的指令进行工作。

世家的心思需要现,发泄给一个来切实形象的食指重复会让大家带来快感,终究是是体制问题。可对冰冷无情之样式,无力的私有怎么流露?

不知20年后,如果我们倒上前了一个开放、自由的老百姓社会,那堵墙不再,方校长还以的话,他见面怎么回味自己之所作所为。

<strong>我想取的问题</strong>

虽说最终领导等还死饿了焦炙着去用了,没有受咱问的时机,我或者想了几只问题。当时准备问的就是是率先个

1.咱们是不是会面以白名单,什么时会起来施行?最近电信的普遍访问国外网站故障及是关于系么?

兹底过滤系统或者黑名单,即凡是出现于这个榜中之网站,都开展屏蔽,而白名单虽然反,只有在斯名单上的网站,才会顾(针对海外网站,国内网站发出备案制度)。个人很关注这,就马上几乎天出现了店用户不能够看外国网站的景,怀疑是电信的国际出口进行白名单测试,我要好的网站域名主机都是海外的,如果履行白名单,我的网站应当将消失了。

另外还想个问题,不准备问,写出来吗尽管当玩儿

“方校长你好,我想请问一下大网审批过滤系统针对互联网产业的影响有差不多挺?对互联网经济发生什么打算?当然,听说在校长买了6独VPN,校长你要么推进了是VPN产业之前行之,VPN商人尚是死喜欢方校长的。”

<strong>写以结尾:</strong>

花费了几乎只钟头,写这篇博文的过程还算是流畅,其中查明了部分例证。

昨晚及我妈聊天,说交今方滨兴要来,骂了他几乎句,我母亲和自家说:“人家比较你牛,你若学习人家,人家比较你成,你还有啊话不过说”。

确,“院士”、“校长”的衔,的确是某种定义的中标。可是成功便天经地义吧?

在此间吃大家一个建议:

以google进行查找,至少你寻找一个重大字给屏蔽的时候,你还会知晓什么让挡住了。

屈居一个小tips给跟大之同窗,可以稳定地利用google的劳动

<a
href=”http://note.sdo.com/my\#/my/notedetail/uPUSwjr5OKFnM01I00Ajn”>http://note.sdo.com/my\#/my/notedetail/uPUSwjr5OKFnM01I00Ajn</a>

汶川地震三周年,我们的孩子去世的那片校舍废墟已经深受推为平地,不了解就多孩子的幽灵会无见面懂得出个体因此书包堆了同一幢墙来怀念他们。同样是墙,一个是因想也代价,一个凡是为身为代价。

发作一个”魔“给大家。不亮是”魔“什么时候会成为敏感词。

图片 6

2、不信赖用户

使借而你的网站接收的诸一样修数据都是存在恶意代码的,存在隐匿的威胁,要指向每一样久数据都进行清理

3、PHPINI的配置

register_globals = Off
error_reporting = Off
safe_mode = On
safe_mode_gid = On
allow_call_time_pass_reference = Off
disable_functions = phpinfo,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source
open_basedir = /data/www/tmp/:/data/www/
expose_php = Off
allow_url_fopen = Off
allow_url_include = Off

 4、SQL注入攻击

提防SQL注入攻击需要抓好两宗事:

1)对输入的参数总是进行路验证,对单引号、双引号、反引号等特殊字符总是用mysql_real_escape_string函数进行转义

2)不要开php的Magic Quotes

另方法

1)使用PDO

$stmt = $pdo->prepare('SELECT * FROM employees WHERE name = :name');
$stmt->execute(array('name' => $name));
foreach ($stmt as $row) {  
    do something with $row
}

 注意,在默认情况使用PDO并没有受MySQL数据库执行真正的事先处理语句(原因见下文)。为了解决是题材,你应有禁止PDO模拟预处理语句。一个不利采取PDO创建数据库连接的事例如下:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass');
$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

 2)使用mysqli

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {

// do something with $row
}

 5、防止基本的XSS攻击

1)这种攻击在客户端进行,最基本的XSS工具就是防范同样段落javascript脚论于用户用提交的表单页面,将用户提交的多少与cookie偷取过来。
2)XSS工具比SQL注入越来越不便防范,各大店网站都叫XSS攻击了,这里要采用的是本着用户之数码开展过滤,一般过滤掉HTML标签,特别是a标签。

下是一个惯常的过滤方法

function transform_HTML($string, $length = null) {
   // Helps prevent XSS attacks

   // Remove dead space.
    $string = trim($string);

   // Prevent potential Unicode codec problems.
    $string = utf8_decode($string);

   // HTMLize HTML-specific characters.
    $string = htmlentities($string, ENT_NOQUOTES);
    $string = str_replace("#", "#", $string);
    $string = str_replace("%", "%", $string);
    $length = intval($length);
    if ($length > 0) {
        $string = substr($string, 0, $length);
    }
    return $string;
}

这个函数将HTML的特殊字符转换为HTML实体,浏览器在渲染这段文本的时段因纯文本形式显得。

如<strong>bold</strong>会给显示为:

<STRONG>BoldText</STRONG>

上述函数的着力就是htmlentities函数,这个函数将html特殊标签转换为html实体字符,这样好过滤大部分之XSS攻击。
而是对发生经验的XSS攻击者,有逾巧妙的措施开展抨击:将他们的恶意代码使用十六进制或者utf-8编码,而未是一般的ASCII文本,例如可以利用下的方法进行:

<a href=”http://host/a.php?variable=%22%3e
%3c%53%43%52%49%50%54%3e%44%6f%73%6f%6d%65%74%68%69%6e%67%6d%61%6c%69%63%69%6f%75%73%3c%2f%53%43%52%49%50%54%3e”>

这样浏览器渲染的结果其实是:
<a href=”http://host/a.php?variable="&gt;
<SCRIPT>Dosomethingmalicious</SCRIPT>

如此便达到了攻击的目的。

为了防这种情况,需要在transform_HTML函数的基本功及重复用#和%换为她们相应的实体符号,同时加上了$length参数来界定提交的多寡的极其可怜长。

使用SafeHTML防止XSS攻击
上述有关XSS攻击的警备非常简单,但是不包含用户的拥有标记,同时产生许多种绕了过滤函数提交javascript代码的办法,也未尝法能完全挡住这个情景。
目前,没有一个单纯的台本能确保非叫攻击突破,但是到底起相对来说防护水平再次好之。一共发星星点点单平安防范的计:白名单和黑名单。其中白名单更加简便易行和管事。
平等栽白名单解决方案就是SafeHTML,它足够智能能够分辨有效的HTML,然后便得去任何危险的签。这个要依据HTMLSax包来拓展辨析。
安使用SafeHTML的章程:

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下载最新的SafeHTML
2、将文件放入服务器的classes 目录,这个目录包含所有的SafeHTML和HTMLSax库
3、在自己的脚本中包含SafeHTML类文件
4、建立一个SafeHTML对象
5、使用parse方法进行过滤

代码如下:

<?php
/* If you're storing the HTMLSax3.php in the /classes directory, along
with the safehtml.php script, define XML_HTMLSAX3 as a null string. */

define(XML_HTMLSAX3, '');

// Include the class file.
require_once('classes/safehtml.php');

// Define some sample bad code.
$data = "This data would raise an alert <script>alert('XSS Attack')</script>";

// Create a safehtml object.
$safehtml = new safehtml();

// Parse and sanitize the data.
$safe_data = $safehtml->parse($data);

// Display result.
echo 'The sanitized data is ' . $safe_data;

留意:SafeHTML并无可知一心防XSS攻击,只是一个相对复杂的下面本来检验之计

6、使用单向HASH加密方式来保安数量
单向hash加密保证对每个用户的密码都是绝无仅有的,而且无克为破译的,只有最终用户知道密码,系统也是休知道老密码的。这样的一个功利是于网受口诛笔伐后攻击者也束手无策了解原来密码数据。
加密暨Hash是例外之有限独过程。与加密不同,Hash是力不从心给解密之,是仅为的;同时少单不同之字符串可能会见得到与一个hash值,并无可知担保hash值的唯一性。
MD5套数处理了之hash值基本未可知于破解,但是接连发生可能性的,而且网上也生MD5的hash字典。

7、使用mcrypt加密数据

MD5
hash函数方可以可读之表单中形数据,但是对于存储用户的信用卡信息之时光,需要开展加密处理后存储,并且用之后进行解密。
绝好之方式是应用mcrypt模块,这个模块包含了超30着加密方法来保证只有加密者才能够解密数据。

<?php
$data = "Stuff you want encrypted";
$key = "Secret passphrase used to encrypt your data";
$cipher = "MCRYPT_SERPENT_256";
$mode = "MCRYPT_MODE_CBC";
function encrypt($data, $key, $cipher, $mode) {
// Encrypt data
return (string)
    base64_encode
    (
        mcrypt_encrypt
        (
            $cipher,
            substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)),
            $data,
            $mode,
            substr(md5($key),0,mcrypt_get_block_size($cipher, $mode))
        )
    );
}
function decrypt($data, $key, $cipher, $mode) {
// Decrypt data
    return (string)
        mcrypt_decrypt
            (
                $cipher,
                substr(md5($key),0,mcrypt_get_key_size($cipher, $mode)),
                base64_decode($data),
                $mode,
                substr(md5($key),0,mcrypt_get_block_size($cipher, $mode))
            );
}

 mcrypt函数需要以下信息:

1、待加密数据
2、用来加密和解密数据的key
3、用户选择的加密数据的特定算法(cipher:如 MCRYPT_TWOFISH192,MCRYPT_SERPENT_256, MCRYPT_RC2, MCRYPT_DES, and MCRYPT_LOKI97)
4、用来加密的模式
5、加密的种子,用来起始加密过程的数据,是一个额外的二进制数据用来初始化加密算法
6、加密key和种子的长度,使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取

要是数额与key都让盗走,那么攻击者可尽历ciphers寻找开行的道即可,因此我们需要以加密的key进行MD5一模一样蹩脚后保安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据,这样保存及数量库字这样保存到数据库字段中见面滋生其他左,使用了base64encode将这些数据易为十六进制数方便保存。

 参考文献:http://www.codeproject.com/Articles/363897/PHP-Security

相关文章