1. Cookie set without HttpOnly flag

原因:意思是:httponly設置為true則只能通過http操縱cookie,這樣防止了javascript等腳本語言對cookie做修改,幫助我們有效的防止XSS攻擊.

解決方法:

PHP中的設置

PHP5.2以上版本已支持HttpOnly參數的設置，同樣也支持全局的HttpOnly的設置，在php.ini中

-------------------------------------------------- ---

session.cookie_httponly =

-------------------------------------------------- ---

設置其值為1或者TRUE，來開啟全局的Cookie的HttpOnly屬性，當然也支持在代碼中來開啟：

-------------------------------------------------- ---

<?php ini_set("session.cookie_httponly", 1);

// or session_set_cookie_params(0, NULL, NULL, NULL, TRUE);

?>

轉自:http://devco.re/blog/2014/06/19/client-ip-detection/

很多網站都會有偵測使用者 IP 的功能，不管是判斷使用者來自哪邊，或者是記錄使用者的位置。但是你知道嗎？網路上大多數的教學全部都是「錯誤」的。正確的程式寫法可以確保知道訪客的 IP，但是錯誤的寫法卻可能讓網站管理者永遠不知道犯罪者的來源。

這次我們單就偵測 IP 的議題來探討各種錯誤的寫法。

你知道網路上的教學是不安全的嗎？

閱讀全文... 新增回應

今天資安掃描沒過 就因為這個彩蛋的問題:

以下轉貼自:http://blog.longwin.com.tw/2011/02/disable-php-easter-egg2011/

預設

PHP 若於網址列加入下述參數, 會出現不同的圖片(Easter Egg).

?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

ex: http://localhost/?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000

參考自: PHP Easter Egg - PHP 4.x URL Easter Eggs

所有彩蛋圖片: PHP 4.x Easter Egg - Author's Picture

關閉 Easter Egg

vim /etc/php5/apache2/php.ini # 將下述 expose_php 由 On 改成 Off 即可, 參考: PHP: Description of core php.ini directives

; expose_php = On

expose_php = Off

restart apache 即可.

這邊做一下備註

SELECT 陳述式的邏輯處理順序

下列步驟顯示 SELECT 陳述式的邏輯處理順序或繫結順序。這個順序決定何時將某一個步驟中定義的物件提供給後續步驟的子句使用。例如，如果查詢處理器可以繫結至 (存取) FROM 子句中定義的資料表或檢視表，則這些物件及其資料行就可供所有後續步驟使用。 反之，由於 SELECT 子句是步驟 8，因此之前的子句無法參考該子句中定義的任何資料行別名或衍生資料行。不過，後續子句 (例如 ORDER BY 子句) 可以參考這些資料行別名或衍生資料行。請注意，實際執行的陳述式是由查詢處理序所決定，因此順序可能與此清單有所不同。

1. FROM
2. ON
3. JOIN
4. WHERE
5. GROUP BY
6. WITH CUBE 或 WITH ROLLUP
7. HAVING
8. SELECT
9. DISTINCT
10. ORDER BY
11. TOP