php爆庫

『壹』 誰清楚phpcms和dedecms各個缺點和優點

phpcms優點：
1. 模塊化安裝，非常適合安裝，拆卸，和拿到市場上去交易非常方便的。
2. 靈活的標簽語法，非常強大。
3. 緩存做的非常優秀。幾乎支持目前主流的幾大緩存系統解決方案，file緩存，eaccelerator緩存，memcache緩存，shmop緩存等
4. 安全性也不錯的。後台為了防範入侵，採用了cookie和session同時存在驗證技術，才可以安全進入後台。
多次登錄失敗，開啟驗證碼功能。防止機器人頻繁猜口令。
5. 資料庫。 在根目錄下的include目錄下，db_access.php db_mssql.php db_mysql.php 等，就照著他的方法，在增加幾個也沒問題的。
6.兼容性。是在php4的基礎上開發的，所以向下兼容性是不錯的。在include/global.func.php 這個文件可以看到很多 if(!function_exist()){ }，這些代碼就是為了兼容php4相關函數。
phpcms缺點：
1. 後台對應的模塊的功能列表url,從資料庫中讀取的，也即是，安裝的時候，將url寫入資料庫了。這個如果二次開發要修改的話，不是很方便的，最好是寫到文件中，讀取文件內容，方便開發者開發，而且也更容易維護，如果是出於安全考慮的話，不妨加下密也可以的。
2. 分部式。 後台的某些功能模塊，還是要調用各個應用模塊的admin部分，相關＊．inc．php文件．如果我要把其中某個模塊或應用獨立出去部署到其他的伺服器上，就不方便了。
3.資料庫設計問題，後台開設模型時，表的引擎只能是myIsam,而不能選擇其他的，欄位的類型，比如要開設一個欄位為number,類型為int,但是在新增加的模型表中還是以varchar出現，而不是int,長度是默認的255.modelfiled表，才發現該系統是將類型寫到該表中了。
4.加密/解密程序。目前已經在想相關安全網站已被爆以破解。這也不是什麼新聞了。在開發中，關注下相關安全廠商發布的漏洞。
5. 資料庫抽象層。 就以上提到的幾個資料庫文件。 db_mssql.php db_mysql.php db_access.php 等對於資料庫分布式，應該沒問題的。 資料庫抽象層處理數據比較快，且快平台更容易且更容易維護，這個是需要考慮的。
Dedecms功能實用，模板功能使用簡單。

『貳』 個人電腦安全策略

迅速打造黑客課程安排：（前提是要很熟悉各系統，至少會HTML，ASP，C或C++）

1，黑客術語，黑客英語學習——(2天)
2，DOS系統命令及批處理學習（包含Linux）——(5天)
3，系統常用程序運行名及功能學習——(2天)
4，計算機服務與埠學習——(1天)
5，FTP命令及FTP安全架設學習——(2天)
6，SQL安全架設及命令學習——(2天)
7，WEB架設及安全設置——(2天)
8，伺服器(堡壘主機)的架設，虛擬機的架設——(1天)
9，目標信息收集與漏洞分析（各具優勢功能的掃錨器的使用與互補）——(3天)
10，遠程式控制製程序的配置及使用（灰鴿子，上興等常用的）——(3天)
11，掛馬的製作及傳播技術（網頁，郵件，FLASH，OFFICE，圖片，影音木馬）——(5天)
12，惡意代碼，功擊代碼基礎學習——(3天)
13，木馬，後門，病毒的免殺技術（原理，運行，傳播，改特徵碼，加殼，脫殼，查殼等）——(7天)
14，木馬，病毒，後門的手工安全檢查與清除——(5天)
15，密碼破解技術（系統密碼，文件密碼，郵箱密碼，QQ密碼，加密代碼等）——(15天)
16，溢出代碼的編繹——(1天)
17，主機漏洞入侵技術（系統漏洞，軟體漏洞的利用與防範）——(50天)
18，無限網路原理與入侵，防範——(3天)
19，區域網的入侵與安全防範——(7天)
20，GOOGLE黑客技術——(10天)
21，嗅探與劫持原理與應用技術——(15天)
22，網路COOKIE欺騙原理與應用技術——(10天)
23，網站漏洞入侵技術及注入，旁註（包含ASP/PHP/CGI，爆庫，手工注入，常用注入工具的使用，代碼）——(30天)
24，提權應用技術的學習——(7天)
25，突破防火牆技術——(10天)
26，隱藏技術（日誌清除與修改，跳板技術，代理原理與架設技術等網路入侵隱身技術）——(7天)
27，蜜罐技術，與反追蹤技術——(10天)
28，軟體破解技術——(20天)
29，DDOS——(10天)

註：技術資料的收集與整理，並作好筆記。整理好自己的工具並保存好。

『叄』 php 密碼驗證過程是在代碼中進行的 還是在資料庫中進行的

……一般情況下，為了安全，密碼在資料庫中存儲，是已經加過密的，當然，最簡單方便的便是MD5，在驗證的時候，把前台提交的密碼直接加密，然後再去資料庫中對比，只要和資料庫中的值相同，即說明原密碼相同，這樣，就算是被攔截或是被爆庫，也只能拿到MD5之後的密碼，MD5到現在為止，能解密的方法就1個，就是窮舉法，所以是相對安全的

『肆』 求lnmp安裝後，VPS該如何設置許可權

iptable中加入要的埠 如3306(mysql) 80(nginx) 為ACCEPT(允許)
其他的基本不用動 然後注意下您的程序的安全性就行了 實在要防止進來 去 php.ini把那些涉及系統調用的php函數都禁止掉 就行 一般的 如果你的程序 用戶沒有提交信息的頁面 都不用管這些 有那些用戶插入信息的也頁面 你就做好用戶的許可權檢查 和體交內容內容的sql注入 過濾就行了 防止他們執行系統許可權或SQL爆庫注入等 一般沒人找你 除非你的程序讓人眼紅 來盯你了 基本上就這些吧 希望對你有幫助哦

『伍』 php寫入資料庫失敗

可以使用mysql_error([resource$link_identifier] )來查看產生錯誤的提示信息，官方說明：網頁鏈接

『陸』 php網站在檢測時總是提示網站存在sql注入漏洞

sql 注入的問題，是利用sql本身的漏洞來爆庫的啊，防止sql注入，主要是在接到的數據入庫的時候，把數據進行過濾即可，mysql_real_escape_string()，php.ini中的magic_quotes_gpc,magic_quotes_runtime參數（盡量不要使用），addslashes()，htmlspecialchars()也可以的，可以過濾一些字元串等，如果接到的只為整型可用intval(),其實sql注入，主要是防止一些特殊字元，例如：*,-,<,>等等

『柒』 我需要用api從別的地方獲取大量數據，然後存資料庫，現在有70多萬條數據，直接php獲取過來伺服器就爆了

根據需求選合適的方法咯：

1. 比如等數據用到時再獲取，資料庫相當於緩存，第一次用到時，你的資料庫裡面必然沒有這條數據，這時就用api從別的地方獲取，並緩存到資料庫中，以後用到時就直接從資料庫里獲得了

2. 定時定量獲取，將性能分散化，比如100ms定時獲取一條數據，這樣cpu和內存會一直維持在較低水平，幾乎不會影響性能。

3. 伺服器空閑期間多獲取，忙的時間少獲取，比如檢測到cpu利用率小於50%，這段時間就快速同步，利用率大於90%，就停止同步
   

4. 上面三條結合使用，再加上多線程，cpu利用率低就將定時器時間設的短一些，線程多一些，利用率高就設的長一些，線程少一些。無論何時，當用到某條數據時，用1的方法同步