oraclesha1加密

‘壹’ 如何应对被公开的Oracle口令加密算法

由于Oracle数据库被广泛应用，其口令加密算法也是备受关注。最早在1993年comp．databases．oracle．server新闻组中有人披露了加密算法的大部分细节。十年后，一本名为《Special Ops Host and Network Security for Microsoft， Unix and Oracle》的书中补全了算法最重要的一个环节——DES算法的KEY。至此，口令加密算法已无秘密可言。接踵而来的是互联网上出现多个了Oracle口令破解工具。Oracle在2007年推出的最新版本11g中，使用了新的更安全的加密算法，但是新算法的细节很快又在互联网上被公开。为提供兼容，11g版本保留了11g以前版本使用的加密口令，利用这一漏洞仍然可以对11g版本的加密口令进行破解。

到底怎样才能保证数据库口令的安全呢？本文首先介绍Oracle数据库各版本口令加密算法的内容，然后针对算法重点介绍加强数据库安全性的应对措施。

口令加密算法
从Oracle7到Oracle 10gR2，使用DES算法对口令进行加密。对算法进行分析，可以得出如下结论：口令不区分大小写，任意大小写组合均可登录；由于只使用固定KEY，只要用户名和口令相同，在任一DB中存放的加密口令都相同；由于采用了用户名和口令串接的方式，所以用户aaa、口令bbbccc的加密值与用户aaabbb、口令ccc完全相同。

Oracle 11g版本的加密口令存放在SYS．USER$表中的SPARE4列中，而PASSWORD列中仍保留以前版本加密口令。由于客户端计算加密口令需要用到SALT，在建立连接时，服务器端将SALT明文传送给客户端程序。Oracle 11g中新的口令加密算法中区分大小写；由于加入了随机数SALT，两个不同用户的口令即便完全相同，计算得到的SHA1的散列值也不同；不同DB中相同用户相同口令，SHA1散列值也可能不同。

目前，大多数破解工具的工作方式是得到加密口令后，对每一个可能的口令进行加密计算，比较计算结果而确定是否正确。由此，抵御口令破解可以从三个方面着手：防止加密口令外泄；在加密口令落入黑客手中后，口令也是不可破解的，或尽量增加破解的时间；即便是口令被破解，也是无用的，不能存取数据库。

防止加密口令泄露
1．应用“最少权限”原则，尽量限制可存取加密口令用户的人数

在数据库中检查具有存取SYS.USER$或DBA_USERS权限的用户，并从不需要的用户中收回权限。但是操作并不简单，这也是数据库管理工作的特点。每一厂商的软件中都实现了sql标准之外的扩充，并且每一版本都有差异。限于篇幅，不可能对所有本文中建议的措施进行详细的解释说明，仅以此处检查权限为例展示DBA工作的复杂性。本文中如未说明，则默认版本为11g。应用于11g以前版本时，请读者确认是否需要修改。

检查权限主要的工具是数据字典视图（也可以直接存取SYS用户的基表，但基表的定义没有公布，官方不提供技术支持）。视图DBA_TAB_PRIVS存放了数据库中数据对象上的授权信息。假定用户A1和A2可以存取SYS．USER$表，检查在SYS用户USER$上有存取权限的用户，可执行如下语句：

SELECT GRANTEE FROM DBA_TAB_PRIVS WHERE TABLE_NAME=‘USER$’；

我们已经知道用户A1和A2，都可以存取SYS.USER$表，但为什么在上面查询结果中没有出现呢？这是因为在Oracle的权限管理中，对一个表的存取权限还可以通过系统权限或角色赋予，而DBA_TAB_PRIVS中仅列出了直接的对象权限的授予信息。对于SYS．USER$表而言，系统权限SELECT ANY DICTIONARY和角色DBA都包含了这一表的存取权限。所以完整列出所有可存取这一表的用户应增加下面两条查询语句的结果：

SELECT GRANTEE FROM DBA_SYS_PRIVS WHERE PRIVILEGE＝‘SELECT ANY DICTIONARY’；
SELECT GRANTEE FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE＝‘DBA’；

通过上面的查询语句，还是会遗漏某些用户。如果把DBA角色授权给另一角色Admin，然后又将Admin角色授权给另一用户NEWU，则此用户可存取SYS.USER$表，但在上述三个查询中并没有直接列出NEWU的名字（角色Admin会出现在第三个查询语句的结果中）。

显然，Oracle的授权构成了一棵树，完整的信息需要一段PL/SQL程序来完成。（对于11g以前版本，还需要检查对DBA_USERS视图有存取权限的用户和角色。SELECT_CATALOG_ROLE角色如被授权，则可以存取所有数据字典视图，但不能存取SYS的基表。）

2．设定对加密口令存取的审计

如果当前系统中只有SYSDBA可以存取USER$，则一个变通办法是审计SYSDBA的所有操作，其中也包括对USER$的存取。设置初始化参数audit_sys_operations ＝TRUE，重新启动数据库后激活对SYSDBA操作的审计。

审计文件的存放位置为：
11g版本中为：$ORACLE_BASE/admin/SID/ amp／ *．aud
11g以前版本为： $ORACLE_HOME/rdbms/audit/ *．aud。
严格限制和监视SYSDBA用户活动的最好办法是使用Oracle Database Vault组件。

3．在操作系统级限制对数据库数据文件的存取
SYSDBA用户的加密口令存放在$ORACLE_HOME/dbs下的口令文件orapw〈SID〉中。SYS．USER$表同样需要在数据文件中存放，多数为SYSTEM表空间的第一个数据文件中。此外，EXPORT文件、REDOLOG文件以及TRACE文件中都可能出现加密口令。需要严格限制上述文件的存取权限。

4．防止网络窃听

在建立连接时，客户端需要向服务器端传送用户名和口令，并且服务器端与客户端需要相互发送这次会话使用的SESSION KEY。Oracle采用Diffie-Hellman KEY交换算法和自己开发的O3LOGON协议完成上述任务。算法的细节同样已在互联网上被公开。建立连接时上述信息如果被截获，同样可以被用来破解口令。更为严重的是，如果黑客事先已经获得加密口令，结合SESSION KEY的信息，则不需要任何破解，执行简单还原运算就可算出口令明文。

另外，设计SID时不要使用如ORCL、TEST、PROD等常用名字，设定PORT号为远远大于1521的数，都可以增加黑客SID扫描的难度和时间。

5． 删除旧版的加密口令

存放在Oracle 11g数据库中的以前版本的加密口令是口令破解工具的一个突破口。在没有兼容性限制的系统中，可以考虑从系统中删除旧版口令，从而增加破解难度。

具体操作如下：

在SQLNET.ORA中增加一行：SQLNET.ALLOWED_LOGON_VERSION=11（Oracle手册中格式介绍有错误，不能加括号：…＝（11）），指定最低版本。
以SYSDBA登录后，执行以下语句，删除旧版口令。
update sys.user$ set password＝NULL；
delete from user_history$；
commit；

设置修改后，基于OCI的工具如SQLPLUS、10gR1和10gR2版本都可以正常登录，而JDBC type-4 则只有11g版本才允许登录。

提高口令强度
1．禁止使用缺省口令，禁止与用户名同名的口令，禁止字典词汇的口令

Oracle 11g中提供一个视图DBA_USERS_WITH_DEFPWD，可以方便地查出系统中使用缺省口令的所有用户，不足的是还有不少遗漏。读者可以在互联网找到缺省口令的列表，虽然是非官方的，但是比DBA_USERS_WITH_DEFPWD使用的官方的列表更全。破解工具附带的词汇表有的包括了大型英文词典中全部词汇，并支持词汇与“123”之类的常用后缀进行组合。需要注意的是，有的词汇表中已经出现了“zhongguo”这样的字符串，所以汉语拼音组成的口令也是不安全的。检查系统中是否存在弱口令的最常用方法就是使用前述口令破解工具进行攻击。

2．规定口令最小字符集和口令最短长度

口令字符集最小应包括字母、数字和特殊符号，口令长度最短应不少于8位，对于安全性要求高的系统，最短长度应为12位以上。同样，问题的关键在于DBA指定初始口令以及用户修改口令时保证不违反上述这些规定。每一用户都对应一个Profile，如在Profile中指定口令验证函数，则每当创建或修改口令时，会自动检查是否满足验证程序中所设定的条件，如果不满足，则口令修改失败。对口令明文进行检查，显然要比对加密口令破解效率高。此外，口令创建之时进行检查可以及时封杀弱口令，不给黑客留下破解的窗口。

指定口令验证函数的语句为：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION 口令验证函数名；

上例中，为“DEFAULT” Profile指定了验证函数。对用户进行分类后，应当为每一类用户分别创建自己的Profile，而不是全部使用DEFAULT。关闭口令验证函数的语句为：

ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION NULL；

在$ORACLE_HOME/rdbms/admin/下，脚本文件UTLPWDMG.SQL提供了示例的口令验证函数，执行这一脚本，将创建一名为VERIFY_FUNCTION的函数( Oracle 11g中，增加新函数verify_function_11G )。这一函数可以对口令长度是否同时出现了字母数字符号进行检查，检查是否与用户名同名，也检查口令是否是几个最常用的词汇，如welcome、database1、account1等。最后，口令修改时检查新旧口令是否过于相似。读者实际使用时应该根据系统需要对这一函数进行必要的修改和扩充。

3．使用易记忆的随机口令限定口令长度后，如果口令没有规律很难记忆，则用户会采用他们自己的方式记住口令，大大增加了遭受社会工程攻击的可能性。DBA需要帮助用户设计一个容易记忆而又不易破解的口令。一个简单易行的方法是找用户非常熟悉的一个句子，如One world One dream，然后将每一个空格替换为数字或符号：One3world2One1dream#。

定期更换口令

抵御口令破解要从多方面着手


数据库中存在多种权限用户，各种授权用户构成一棵树

应对口令泄露或被破解的措施是强制定期更换口令，设定口令重复使用限制，规定封锁口令的错误次数上限及封锁时间。即便是加密口令落入黑客手中，在被破解之前或入侵之前，修改了口令，则口令破解变得毫无意义。为了方便记忆，一般用户有重新使用之前过期口令的倾向，如果对重用不加控制，则定期更换口令将失去意义。上述对口令的管理仍然是通过Profile完成：

ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 30
PASSWORD_GRACE_TIME 7
PASSWORD_REUSE_TIME 365
PASSWORD_REUSE_MAX 0
FAILED_LOGIN_ATTEMPTS 10
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_VERIFY_FUNCTION my_verify_function;

上面语句制定的口令管理政策为：口令的有效期为30天，随后有7天的宽限期，宽限期后口令“过期”，必须更改口令后才能登录。只有经过365天后才能重新使用以前的口令。在连续10次输入口令错误后，账号被封锁，设定不自动解锁，必须由DBA手动解除封锁。口令验证函数为my_verify_function。

Oracle 11g以前版本，缺省设置中没有设定口令的有效期，而在Oracle 11g中缺省设置有效期为180天。程序中直接写入口令的应用在升级到11g时一定要注意有效期问题，避免半年后应用突然无法自动运行。另外，口令的有效期对SYS用户不起作用，DBA一定要主动定期更换口令。

另外一个措施是对登录数据库服务器的主机进行限定，如指定网段或指定IP地址。进一步限定客户端允许执行的程序，如对非本地登录禁止使用SQLPLUS，只允许执行某特定应用。

认真实施本文中给出的措施后，可以很有效地防止口令被破解。然而我们的目的是提高数据库系统的安全性，而不仅仅是保证口令不被破解。数据库系统安全的任何一个环节出现问题，都会导致前功尽弃。黑客的目的是入侵系统盗窃数据，是不会按常理出牌的，会尝试各种手段方式，如社会工程、安全漏洞、物理入侵等等，而不会执着地在口令破解上与我们较劲。这一点需要我们经常提醒自己，从而切实保证数据库系统安全。

TechTarget中国原创内容

‘贰’ AES加密 在PC上和Android上不一样 怎么解决

你没有指定RNG的Provider
未指定的情况下 Android 2.3以上版本使用的是 随机数序列是 Android's OpenSSL-backed security provider
以下版本是 BouncyCastle Security Provider

JDK 1.7内没有这个Provider, 这个Android自己搞的，你服务端一定解不出来的。

目前Android支持的 RNG有以下几种

Android's OpenSSL-backed security provider 1ASN.1, DER, PkiPath, PKCS7
BouncyCastle Security Provider v1.49 HARMONY (SHA1 digest; SecureRandom; SHA1withDSA signature) Harmony JSSE Provider Android KeyStore security provider
服务端如果也没指定的话，默认使用的是

SUN (DSA key/parameter generation; DSA signing; SHA-1, MD5 digests; SecureRandom; X.509 certificates; JKS keystore; PKIX CertPathValidator; PKIX CertPathBuilder; LDAP, Collection CertStores, javaPolicy Policy; JavaLoginConfig Configuration)
Oracle JDK 1.7 环境下 支持以下

SUN (DSA key/parameter generation; DSA signing; SHA-1, MD5 digests; SecureRandom; X.509 certificates; JKS keystore; PKIX CertPathValidator; PKIX CertPathBuilder; LDAP, Collection CertStores, JavaPolicy Policy; JavaLoginConfig Configuration)
Sun RSA signature provider
Sun Elliptic Curve provider (EC, ECDSA, ECDH)
Sun JSSE provider(PKCS12, SunX509 key/trust factories, SSLv3, TLSv1)
SunJCE Provider (implements RSA, DES, Triple DES, AES, Blowfish, ARCFOUR, RC2, PBE, Diffie-Hellman, HMAC)
Sun (Kerberos v5, SPNEGO)
Sun SASL provider(implements client mechanisms for: DIGEST-MD5, GSSAPI, EXTERNAL, PLAIN, CRAM-MD5, NTLM; server mechanisms for: DIGEST-MD5, GSSAPI, CRAM-MD5, NTLM)
XMLDSig (DOM XMLSignatureFactory; DOM KeyInfoFactory)
Sun PC/SC provider
Sun's Microsoft Crypto API provider

你们服务端要是用的 什么 OPENJDK 第三方虚拟机，php什么的话，那就只有天知道支不支持了。

不过你看也知道了 JDK里的都是SUN自己搞的， Android JVM里挂载的不是Android专用的就是第三方开源的，我估计你是找不到一样的 随机数生成器 方案了

‘叁’ APS，PHP都是什么意思

APS技术的组成

ASP硬盘保护技术，是由内嵌于主板上的加速度感应芯片和预装在系统中的震动预测管理软件组成。通过对ThinkPad本本的角度、震动、撞击的监测（即对横纵加速度变化的监测），来决定是否将硬盘磁头从工作状态收回到磁头停止区，从而减小撞击对硬盘的损害，保护硬盘及硬盘内的数据。震动预测管理软件从加速感应芯片中接收到相应的信号，通过分析判断出哪些是对硬盘有害的，哪些是规律性的运动。震动预测管理软件会忽略对硬盘不能造成伤害的规律性运动，而对于可能会对硬盘造成损害的运动，震动预测管理软件会立刻将信息传递给硬盘，使磁头迅速收回到停止区。当本本处于关机状态或系统处于启动状态时，APS功能并不会被启动。

APS技术的工作原理

当笔记本电脑硬盘工作时，硬盘磁头在磁盘上方运动，进行数据读取，当撞击力在持续2毫秒内小于200G时，一般可以靠ThinkPad本本本身的外壳与防震设计来减震，避免对硬盘造成损害。而当撞击力在持续2毫秒内超过200G后，损害将会随着撞击能量的加大而加大。

硬盘处于非工作状态时，磁头处于停止区，硬盘在1毫秒内最大可以承受800G的冲击。当撞击超过800G/1毫秒后，损害将会随着撞击能量的加大而加大（见图右边的函数图）。也就是说如果可以及时将硬盘磁头归位到停止区，则硬盘可以忍受比在工作状态下更大的冲击而不受损害。IBM APS技术就是基于上述原理，在预测到有可能发生撞击后，及时地将磁头移动到停止区以保护硬盘。

根据大量实际调查显示，笔记本电脑在工作状态下跌落的情况绝大部分是从桌面或膝盖上跌落，即从120cm以下高度跌落（通常人的膝盖高度为50cm，桌面高度为80cm），如何能在ThinkPad本本发生撞击之前就将磁头归位，成为了问题的关键所在。

1.磁头归位的时间问题

经测试，磁头的归位时间从接到控制信号到完成操作，根据磁头所处的磁道位置不同，大约为100毫秒到500毫秒。对于20cm高度内自由下落的情况，一般可以靠笔记本电脑的外壳与防震设计抵御撞击力，所以我们仅需要关注20cm以上的跌落情况。而笔记本电脑从20cm至120cm高度掉落下来的时间是202毫秒至495毫秒，再加上笔记本电脑掉落之前的短暂延迟时间，试验表明通常预计发生的时间会多于下跌时间。这就保证磁头能在笔记本电脑发生撞击之前及时归位，有效地保护磁盘。

2.冲击力问题

笔记本电脑要承受怎样的撞击，硬盘才会受到超过800G的冲击力呢?我们知道，硬盘受到的冲击力是由多项因素决定的。首先是笔记本电脑下落的相对高度与初始速率，而一般笔记本电脑在工作状态下跌落的情况绝大部分是从膝盖或桌面上跌落到地板上，相对高度不超过120cm，垂直方向的初始速率基本可以忽略不计；其次是笔记本电脑撞击的表面，硬质无弹性的表面（如水泥地板）可以造成更大的冲击力，软质有弹性的表面（如木地板或铺着地毯的地板）可以略微缓冲碰撞，从而造成较小的冲击；再次是笔记本电脑本身的外壳设计和防震设计。

为了量化在各种情况下硬盘受到的冲击力，IBM实验室特别针对从膝盖上跌落和从桌面上跌落两种情景进行了大量的实际测试。相关实验数据显示，从膝盖高度（50cm）或从桌面高度（80cm）翻落到硬质无弹性的水泥地板上，由于有外壳以及冲击吸收垫保护，硬盘受到的冲击力超过200G的几率约为50%，而超过800G的几率不超过2%。

3.规律性颠簸问题

APS功能一旦开启，就一直在监测ThinkPad本本的运动。但用户常常需要移动办公，如在汽车、火车或飞机等交通工具上使用笔记本电脑，因此颠簸是在所难免的，这些震动要是常触发APS使磁头归位，则ThinkPad用户在使用本本时就会感到本本运行是断断续续的，影响了工作效率。不过APS技术已经考虑到这个问题，它具有忽略重复震动的功能，能消除移动用户的顾虑。交通工具颠簸造成的冲击力一般并不足以损害硬盘，所以大多数的颠簸都不会触发APS功能使磁头归位，从而有效保证了ThinkPad用户使用笔记本电脑的流畅性。

智能化的震动预测、有提前量的磁头归位操作，APS的这些重要特性都保证了ThinkPad本本的硬盘以及盘内数据不会轻易受到各种撞击的影响。

php
PHP，一个嵌套的缩写名称，是英文超级文本预处理语言（PHP:Hypertext Preprocessor）的缩写。PHP 是一种 HTML 内嵌式的语言，PHP与微软的ASP颇有几分相似，都是一种在服务器端执行的嵌入HTML文档的脚本语言，语言的风格有类似于C语言，现在被很多的网站编程人员广泛的运用。PHP 独特的语法混合了 C、Java、Perl 以及 PHP 自创新的语法。它可以比 CGI 或者 Perl 更快速的执行动态网页。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML文档中去执行，执行效率比完全生成HTML标记的CGI要高许多；与同样是嵌入HTML文档的脚本语言JavaScript相比，PHP在服务器端执行，成分利用了服务器的性能；PHP执行引擎还会将用户经常访问的PHP程序驻留在内存中，其他用户在一次访问这个程序时就不需要诚信编译程序了，只要直接执行内存中的代码就可以了，这也是PHP高效率的体现之一。PHP具有非常强大的功能，所有的CGI或者JavaScript的功能PHP都能实现，而且支持几乎所有流行的数据库以及操作系统。

PHP 最初是1994年Rasmus Lerdorf创建的，刚刚开始只是一个简单的用Perl语言编写的程序，用来统计他自己网站的访问者。后来又用C语言重新编写，包括可以访问数据库。在1995年以Personal Home Page Tools (PHP Tools) 开始对外发表第一个版本，Lerdorf写了一些介绍此程序的文档，并且发布了PHP1.0。在这早期的版本中，提供了访客留言本、访客计数器等简单的功能。以后越来越多的网站使用了PHP，并且强烈要且增加一些特性，比如循环语句和数组变量等等，在新的成员加入开发行列之后，在1995年中，PHP2.0发布了。第二版定名为PHP/FI(Form Interpreter)。PHP/FI加入了对mSQL的支持，从此建立了PHP在动态网页开发上的地位。到了1996年底，有15000个网站使用 PHP/FI；时间到了1997年中，使用PHP/FI的网站数字超过五万个。而在1997年中，开始了第三版的开发计划，开发小组加入了 Zeev Suraski 及 Andi Gutmans，而第三版就定名为PHP3。2000年，PHP4.0又问世了，其中增加了许多新的特性。

PHP的特性包括：

开放的源代码：所有的PHP源代码事实上都可以得到。

PHP是免费的。

基于服务器端：由于PHP是运行在服务器端的脚本,可以运行在UNIX、linux、WINDOWS下。

嵌入HTML：因为PHP可以嵌入HTML语言，所以学习起来并不困难。

简单的语言：PHP坚持脚本语言为主，与Java以C++不同。

效率高：PHP消耗相当少的系统资源。

图像处理：用PHP动态创建图像

PHP 3与PHP 4的比较

PHP3跟Apache服务器紧密结合的特性；加上它不断的更新及加入新的功能；而且几乎支持所有主流与非主流数据库；再以它能高速的执行效率，使得PHP在1999年中的使用站点已经超过了150000万。加上它的源代码完全公开，在 Open Source意识抬头的今天，它更是这方面的中流砥柱。不断地有新的函数库加入，以及不停地更新的活力，使得PHP无论在UNIX、LINUX或是Windows的平台上都可以有更多新的功能。它提供丰富的函数，使得在程序设计方面有着更好的支持。

PHP4.0整个脚本程序的核心大幅更动，让程序的执行速度，满足更快的要求。在最佳化之后的效率，已较传统CGI或者ASP等程序有更好的表现。而且还有更强的新功能、更丰富的函数库。无论您接不接受，PHP 都将在 Web CGI 的领域上，掀起巅覆性的革命。对于一位专业的Web Master 而言，它将也是必修课程之一。

PHP 4.0是更有效的，更可靠的动态Web页开发工具，在大多数情况运行比 PHP 3.0要快，其脚本描述更强大并且更复杂, 最显着的特征是速率比的增加。PHP4.0这些优异的性能是PHP 脚本引擎重新设计产生的结果：引擎由 AndiGutmans 和 Zeev Suraski从底层全面重写。PHP4.0 脚本引擎 ——Zend 引擎，使用了一种更有效的编译——执行方式, 而不是PHP 3.0 采用的执行 ——当解析时模型。

PHP4在3.0版的基础上增加或增强了许多有用的特征，主要如下：

（1）别名：在PHP4中，可以利用引用为变量赋值，这给编程带来了很大的灵活性。

（2）扩充了API 模块：PHP 4.0 为扩展的 API 模块的提供了扩展PHP接口模块, 它比旧的 API 版本显着地快。 PHP 模块已有的及最常用的接口多数被转换到使用这个扩展的接口。

（3）自动资源释放：PHP4增加了引用计数功能，这种新技术的引入使PHP4具有了自动内存管理功能,减轻了开发人员的负担。

（4）布尔类型：PHP 4.0 支持布尔类型。

（5）进程生成：在 UNIX 环境下的 PHP 4.0 提供了一个很智能和通用的生成进程, 使用了一种名为基于automake/libtool的系统生成技术。

（6）COM/DCOM 支持：PHP 4.0 提供 COM/DCOM 支持 ( 仅用于Windows 环境 ) 可以无缝地存取和访问 COM 对象。

（7）与PHP 3.0 兼容性很好：PHP 4.0 是与 PHP 3.0 代码向后兼容性接近100% 。由于 PHP 4 的改进的体系结构,两者有一些细微的差别，但是大多数人将可能永远不可能遇上这种情况。

PHP介绍

（8）配置：PHP4重新设计和增强了PHP。ini文件,这使得用PHP。ini来配置PHP显得极为容易,这个文件可以在运行时被Apache(unix系统)或由Windows 注册(Windows 环境)。

（9）加密支持：PHP4实现了完整的加密, 这些加密功能是一个完整的mycrypt库，并且 PHP 4.0 支持哈希函数。Blowfish，TripleDES,MD5,并且SHA1 也是可使用的一些加密算法。

（10）类型检查：PHP 4.0 支持同一操作符用于评类型检查：===（ 3 等号运算符 ）, 为在两个值和其类型之间作检查。例如, 3 ===3 将视为假 ( 类型是不同的 ), 而 3 ==3 ( 相等判断 ) 将视为真。

（11）FTP 支持：PHP 4.0 支持 FTP 。通常, 你会为通过一个调制解调器连接下载一个大文件提供一个接口。然而, 如果你确实有需要，可以使用PHP 。

（12）PHP4新增函数或功能增强函数：PHP 4.0 新增了许多函数,同时也将许多现有的函数功能进行了增强，以下是一些例子。 array_count_values() eval() foreach() nclude() ob_end_clean() ob_end_flush() ob_get_contents() ob_start() strip_tags() unset()

（13）here打印：PHP 4.0 的Here打印是与Perl类似的, 尽管完全不相同。Here是打印大容量文章的一个有用的方法,例如在 HTML文件中，不会漏掉任何一个字符，例如目录标记。

（14）HTTP Session fallback 系统：为 HTTP Session管理的一个 fallback 系统在 PHP 4.0被实现 。缺省情况下，Session标识符由cookies存储。如果没有cookies支持或一项cookies任务失败，Session标识符自动被创建并在 URL 的查询字符串中被携带。

（15）ISAPI 支持：PHP 4.0 能作为一个个性化的 ISAPI 模块作为 IIS插件 。这比 PHP 3.0 更有效, 它作为一个外部的程序来运行。

（16）内存：PHP 4.0 能更有效的使用内存, 导致较少的内存占用消耗,这主要归功于引用计数技术的实现。

（17）其他类成员函数：在 PHP 4.0 你能在成员函数本身的作用域或全局范围内调用其他类的成员函数。例如,你能用一个子函数覆盖父函数,并在子函数中调用父函数。

（18）多维数组：在 PHP 4.0 ，利用GET，POST,Cookies的进行的数据传输支持多维数组。

（19）个性化的 HTTP Session支持：HTTP Session处理, 包括 fallback 系统管理，在 PHP 4.0被它的新库函数实现 。在版本 3.0 中处理Session要求使用 PHPLIB 和第三方的库函数, 它比把Session直接地由 PHP 支持慢了许多。

（20）个性化的 Java 支持：PHP 4.0 支持和java的交互。这种个性化的Java 支持为PHP 在 Java 对象上创建和使用方法提供一个简单并且有效的工具。

21）对象和数嵌套组：PHP 4.0 实现了功能更加强大的对象, 移去了 PHP 3.0存在的种种句法限制。对象能在数组以内被嵌套并且反过来也如此, 可以根据你的需要实现嵌套。

（22）面向对象的编程：PHP 4.0 为面向对象的编程和构造类及对象提供扩展的功能和新特征。PHP4实现了对象重载,引用技术等新技术。

（23）对象重载支持：对象重载语法允许第三方的基于面向对象的类库使用 PHP4 的面向对象的特征存取他们自身的功能。使用这个特征的一个 COM 模块已经被实现了。

（24）输出缓冲支持：PHP 提供了一个输出缓冲函数集合。输出缓冲支持允许你写包裹函数功能压缩缓冲区。在 PHP4 的输出缓冲支持允许 HTML 头信息存放, 无论 HTML的正文是否输出。头信息( (header(), content type, and cookies ) 不采用缓冲 。

（25）增加了PCRE 库：PHP 4.0 包括一个 Perl 兼容的正则表达式 (PCRE ) 库, 和正常regex库一起与 PHP 绑定。split 和replace PCRE 功能被支持。PCRE 和 Perl 正规表达式之间有一些细微差别。

（26）PHP.ini 文件：PHP.ini文件在 PHP4.0 被重新设计, 使用的 PHP 的配置PHP.ini是更容易并且更有效的。全部文件能被Apache 在运行时间操作 ( 在 Apache环境 下 ) 或由 Windows 注册表 ( 在 Windows 下面 ) 。被加入PHP.ini文件的配置指令自动地在所有相关的模块中被支持。

（27）引用计数：PHP 4.0 为系统中的每个数值提供了引用计数, 包括资源。一旦一个资源不再被任何变量引用，它自动地被释放以节省内存资源。利用这个特征的最明显的例子一个内置SQL查询的循环语句。在PHP 3.0中 ，每次递归另外的 SQL 结果集合重复申请内存，直到脚本执行完毕,这些结果集合占用的内存才被释放。

（28）支持引用：通过引用可以改变一个变量的值。

（29）函数的运行时绑定：PHP 4.0 的运行时间绑定功能允许你在他们被声明以前调用, 无论声明是否在代码以后或是在运行时间。

（30）类的运行时信息：PHP 4.0 支持在运行时刻存取下列类信息：一个对象的类名，一个对象的父类的类名字，以及对象函数所在的名字。

（31）服务器抽象层：为支持Web服务器提供了增强型 SAPI ( 服务器 API ) 接口,是 PHP 4。0 不可分的一部分。这个服务器抽象层,提供了通用的WEB服务器接口支持,支持多线程WEB服务器,为大多数的WEB服务器提供透明的支持, 这些服务器包括 Apache ,IIS ( ISAPI ), 以及 AOL 服务器。

（32）语法的点亮显示：PHP 4.0 语法的点亮显示允许开发者看见源代码而不是脚本, 这个功能比PHP 3。0中的更有效。它跑得更快，更执行得更好，并且产生更紧凑的HTML代码。
（33）由引用改变变量的值：PHP 4.0 由引用支持可变的赋值, “关联”的2个变量之中个的任何一个的值被改变,另外的变量的值同样被改变,这类似与C中的指针类型。

（34）在引用字符串中的变量引用：PHP 4.0 增强了在引用字符串中的变量引用。

PHP 在数据库方面的丰富支持，也是它迅速走红的原因之一，它支持下列的数据库或是数据文件：

· Adabas D
· DBA
· dBase
· dbm
· filePro
· Informix
· InterBase
· mSQL
· Microsoft SQL Server
· MySQL
· Solid
· Sybase
· ODBC
· Oracle 8
· Oracle
· PostgreSQL

而在 Internet 上它也支持了相当多的通讯协议 (protocol)，包括了与电子邮件相关的 IMAP, POP3；网管系统 SNMP；网络新闻 NNTP；帐号共用 NIS；全球信息网 HTTP 及 Apache 服务器；目录协议 LDAP 以及其它网络的相关函数。

除此之外，用 PHP 写出来的 Web 后端 CGI 程序，可以很轻易的移植到不同的操作系统上。例如，先以 Linux 架的网站，在系统负荷过高时，可以快速地将整个系统移到 SUN 工作站上，不用重新编译 CGI 程序。面对快速发展的 Internet，这是长期规划的最好选择。

一个PHP实例

<html>

<head>

<title>First program</title>

</head>

<body>

<?php

echo "hello, worldn";

?>

</body>

</html>

‘肆’ 如何为MySQL服务器和客户机启用SSL

用户想要与MySQL服务器建立一条安全连接时，常常依赖VPN隧道或SSH隧道。不过，获得MySQL连接的另一个办法是，启用MySQL服务器上的SSL封装器(SSL wrapper)。这每一种方法各有其优缺点。比如说，在出现多条短时间MySQL连接的高度动态环境下，VPN或SSH隧道也许是比SSL更好的选择，因为后者建立每条连接时需要成本高昂的SSL握手计算。另一方面，如果是长时间运行的MySQL连接比较少的那些应用，基于SSL的加密可能很合理。由于MySQL服务器已经内置了SSL支持功能，你不需要实施VPN或SSH隧道之类单独的安全层，这种隧道有其自己的维护开销。
在MySQL服务器中实施SSL可以加密在服务器与客户机之间来回传输的所有数据，因而防止广域网或数据中心里面可能出现的窃听或数据嗅探行为。此外，SSL还通过SSL证书提供了身份验证机制，因而可以保护用户，远离可能出现的网络钓鱼攻击。
我们在本文中将介绍如何启用MySQL服务器上的SSL。请注意：同样过程适用于MariaDB服务器。
创建Server SSL证书和私钥
我们必须为MySQL服务器创建SSL证书和私钥，通过SSL连接到服务器时要用到它们。
首先，创建一个临时的工作目录，我们将把私钥和证书文件放在该目录下。

$ sudo mkdir ~/cert $ cd ~/cert

确保OpenSSL已安装在运行MySQL服务器的系统上。通常，所有Linux发行版在默认情况下都安装了OpenSSL。想检查一下OpenSSL有没有安装，不妨使用下面这个命令。

$ openssl version OpenSSL 1.0.1f 6 Jan 2014

现在，继续创建CA私钥和证书。下面这些命令将创建ca-key.pem和ca-cert.pem。

$ openssl genrsa 2048 > ca-key.pem $ openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

第二个命令会询问你几个问题。你在这些字段里填入什么并不重要。只管填好那些字段。
下一步是为服务器创建私钥。

$ openssl req -sha1 -newkey rsa:2048 -days 730 -nodes -keyout server-key.pem > server-req.pem

这个命令会再次询问几个问题，你可以填写上一步中提供的相同答案。
下一步，使用下面这个命令，将服务器的私钥导出成RSA类型的密钥。

$ openssl rsa -in server-key.pem -out server-key.pem

最后，使用CA证书，创建服务器证书。

$ openssl x509 -sha1 -req -in server-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

配置MySQL服务器上的SSL
完成上述过程后，我们应该有了CA证书、服务器的私钥及其证书。下一步就是配置MySQL服务器，以便使用私钥和证书。
在配置MySQL服务器之前，检查一下SSL选项已被启用还是被禁用。为此，登录进入到MySQL服务器，输入下面这个查询。

mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';，

该查询的结果会如同下图。

请注意：“have_openssl”和“have_ssl”变量的默认值是“被禁用”，如下所示。想启用MySQL服务器中的SSL，继续执行下列步骤。
1. 将ca-cert.pem、server-cert.pem和server-key.pem拷贝或移动到/etc目录下。

$ sudo mkdir /etc/mysql-ssl $ sudo cp ca-cert.pem server-cert.pem server-key.pem /etc/mysql-ssl

2. 使用文本编辑工具，打开服务器的my.cnf配置文件。添加或去掉注释[mysqld]部分中类似下面内容的几行。这些应该指向你放在/etc/mysql-ssl中的私钥和证书。

[mysqld] ssl-ca=/etc/mysql-ssl/ca-cert.pem ssl-cert=/etc/mysql-ssl/server-cert.pem ssl-key=/etc/mysql-ssl/server-key.pem

3. 在my.cnf中，还要找到“bind-address = 127.0.0.1”，并将它改成：

bind-address = *

那样一来，你就可以从另一个主机连接到MySQL服务器了。
4. 重启MySQL服务。

$ sudo service mysql restart 或 $ sudo systemctl restart mysql 或 $ sudo /etc/init.d/mysql restart

你只要查看MySQL错误日志文件(比如/var/log/mysql/mysql.log)，就可以检查SSL配置有没有问题。要是错误日志中没有警告或错误(就像下面的屏幕截图)，这表明SSL配置没有问题。

验证SSL配置的另一个办法就是，在MySQL服务器里面再次运行“have_%ssl”查询。

mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';

创建拥有SSL权限的用户
服务器端的SSL配置完成后，下一步就是创建有权通过SSL访问MySQL服务器的用户。为此，登录进入到MySQL服务器，输入下面内容：

mysql> GRANT ALL PRIVILEGES ON *.* TO ‘ssluser’@’%’ IDENTIFIED BY ‘dingdong’ REQUIRE SSL; mysql> FLUSH PRIVILEGES;

把“ssluser”(用户名)和“dingdong”(密码)换成你自己的用户名和密码。
如果你想分配一个特定的IP地址(比如192.168.2.8)，以便用户从该地址来访问服务器，那就改而使用下列查询。

mysql> GRANT ALL PRIVILEGES ON *.* TO ‘ssluser’@’192.168.2.8’ IDENTIFIED BY 'dingdong' REQUIRE SSL; mysql> FLUSH PRIVILEGES;

配置MySQL客户机上的SSL
鉴于MySQL服务器端配置已完成，不妨将目光转移到客户机端。就MySQL客户机而言，我们就需要基于服务器的CA私钥和证书，创建新的私钥和证书。
在服务器的CA私钥和证书驻留于其中的MySQL服务器主机上运行下列命令。

$ openssl req -sha1 -newkey rsa:2048 -days 730 -nodes -keyout client-key.pem > client-req.pem

类似服务器端配置，上述命令会询问几个问题。只管填好字段，就像前面所做的那样。
我们还需要将创建的客户机私钥转换成RSA类型，如下所示。

$ openssl rsa -in client-key.pem -out client-key.pem，

最后，我们需要使用服务器的CA私钥和证书，创建客户机证书。

$ openssl x509 -sha1 -req -in client-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

现在，将ca-cert.pem、client-cert.pem和client-key.pem文件转移到你想要运行MySQL客户机的任何主机上。
在客户机主机上，使用下面这个命令，通过SSL连接到MySQL服务器。

$ mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h -u ssluser -p

在输入ssluser的密码后，你会看到如往常那样的MySQL提示符。
想检查一下你有没有使用SSL，在提示符处输入状态命令。

mysql> status;

如果你已通过SSL连接上去，它会在SSL字段显示密码信息，如下所示。

‘伍’ PHP是什么

PHP（PHP：Hypertext Preprocessor递归缩写）中文名字是：“超文本预处理器”，是一种广泛使用的通用开源脚本语言，适合于Web网站开发，它可以嵌入HTML中。编程范型是面向对象、命令式编程的，截止2019年4月24日为止，最新的版本是PHP 5.6.0（28 Aug 2014），其操作的系统为windows/linux/Mac跨平台。

(5)oraclesha1加密扩展阅读：

PHP的功能

1、创建博客

使用PHP创建博客wordpres，可以轻松创建博客。即使您不具备PHP知识，也可以使用它，但如果您可以编写PHP，则可以自定义您的博客并创建主题。

2、网站开发

60%全球互联网网站采用php技术，80%国内互联网网站使用php开发。这些网站包含购物网站，政府企业网站，QQ空间，论坛博客等等。

3、移动端微网站开发以及小程序

移动设备的普及为移动互联网的快速发展奠定了基础！手机淘宝网站，手机京东网站等等， 微信公众号应用中的微网站。

‘陆’ (java加密解密)如何实现JCE接口的各种算法

关于如何去实现Provider，官方文档中有详细的说明。
请参照：http://download.oracle.com/javase/6/docs/technotes/guides/security/crypto/HowToImplAProvider.html#Steps

‘柒’ PHP如何取得数组的上标和下标

获取下标：$array=array('a'=>1,'b'=>3,'c'=>4);$a=array_keys($array);echo end($a)。

PHP的加密函数有crypt()、 md5() 和sha1() 这3种， 其中crypt() 用于单向加密， 所谓的单向加密就是将需要加密的内容进行加密之后， 无法将密文转换成为可读的内容。

因此单向加密的应用范围较狭窄， 一般用于用户名认证和密码输入等情况； 当用户进入系统时，只需要将密文口令输 入，经过系统验证与存储的口令一致， 即可通过。

(7)oraclesha1加密扩展阅读：

主要特点：

（一）开源性和免费性

由于PHP的解释器的源代码是公开的，所以安全系数较高的网站可以自己更改PHP的解释程序。另外，PHP 运行环境的使用也是免费的。

（二）快捷性

PHP是一种非常容易学习和使用的一门语言，它的语法特点类似于C语言，但又没有C语言复杂的地址操作，而且又加入了面向对象的概念，再加上它具有简洁的语法规则，使得它操作编辑非常简单，实用性很强。

（三）数据库连接的广泛性

PHP可以与很多主流的数据库建立起连接，如MySQL、ODBC、Oracle等，PHP是利用编译的不同函数与这些数据库建立起连接的，PHPLIB就是常用的为一般事务提供的基库。