php自定义加密解决实现代码

PHP 的 Mcrypt 加密库又需要额外设置,很多人都是直接使用md5()函数加密,这个方法的确安全,但是因为md5是不可逆加密,无法还原密码,因此也有一些不便之处,本文介绍加密函数支持私钥,用起来还是不错的

代码如下

复制代码

<?php // 说明：PHP 写的加密函数,支持私人密钥   function keyED($txt,$encrypt_key) {     $encrypt_key = md5($encrypt_key);     $ctr=0;     $tmp = "";     for ($i=0;$i<strlen($txt);$i++)     {         if ($ctr==strlen($encrypt_key)) $ctr=0;         $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);         $ctr++;     }     return $tmp; }     function encrypt($txt,$key) {     srand((double)microtime()*1000000);     $encrypt_key = md5(rand(0,32000));     $ctr=0;     $tmp = "";     for ($i=0;$i<strlen($txt);$i++)     {         if ($ctr==strlen($encrypt_key)) $ctr=0;         $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));         $ctr++;     }     return keyED($tmp,$key); }     function decrypt($txt,$key) {     $txt = keyED($txt,$key);     $tmp = "";     for ($i=0;$i<strlen($txt);$i++)     {         $md5 = substr($txt,$i,1);         $i++;         $tmp.= (substr($txt,$i,1) ^ $md5);     }     return $tmp; }    $key = "YITU.org"; $string = "我是加密字符";     // encrypt $string, and store it in $enc_text $enc_text = encrypt($string,$key);     // decrypt the encrypted text $enc_text, and store it in $dec_text $dec_text = decrypt($enc_text,$key);     print "加密的 text : $enc_text <Br> "; print "解密的 text : $dec_text <Br> "; ?>

SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。

    为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加 上反斜杠。

    但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Quotes并没有被启用。所以，我们还需要使用其它多种方法来防止SQL注入。

    许 多数据库本身就提供这种输入数据处理功能。例如PHP的MySQL操作函数中有addslashes()、 mysql_real_escape_string()、mysql_escape_string()等函数，可将特殊字符和可能引起数据库操作出错的字 符转义。那么这三个功能函数之间有什么却别呢？下面我们就来详细讲述下。

    虽然国内很多PHP程序员仍在依靠addslashes防止SQL注入，还是建议大家加强中文防止SQL注入的检查。addslashes的问题在 于黑客 可以用0xbf27来代替单引号，而addslashes只是将0xbf27修改为0xbf5c27，成为一个有效的多字节字符，其中的0xbf5c仍会 被看作是单引号，所以addslashes无法成功拦截。

    当然addslashes也不是毫无用处，它是用于单字节字符串的处理，多字节字符还是用mysql_real_escape_string吧。

    另外对于php手册中get_magic_quotes_gpc的举例：
   

代码如下	复制代码
if (!get_magic_quotes_gpc()) {     $lastname = addslashes($_POST[‘lastname’]);     } else {     $lastname = $_POST[‘lastname’];     }

    最好对magic_quotes_gpc已经开放的情况下，还是对$_POST[’lastname’]进行检查一下。

    再说下mysql_real_escape_string和mysql_escape_string这2个函数的区别：
    mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string ，两者的区别是：mysql_real_escape_string 考虑到连接的当前字符集，而mysql_escape_string 不考虑。

    总结一下：

    * addslashes() 是强行加；
    * mysql_real_escape_string() 会判断字符集，但是对PHP版本有要求；
    * mysql_escape_string不考虑连接的当前字符集。

    dz中的防止sql注入就是用addslashes这个函数，同时在dthmlspecialchars这个函数中有进行一些替换$string = preg_replace(/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/, &1,这个替换解决了注入的问题，同时也解决了中文乱码的一些问题

本文章介绍了关于利用了php的ase64_encode和urlencode来对字符串进行简单的加密处理，也是比较常用的方法，有需要的同学可参考一下本文章哦。

base64_decode
将 BASE64 编码字符串解码。

语法: string base64_decode(string encoded_data);

返回值: 字符串

函数种类: 编码处理

 
内容说明

本函数将以 MIME BASE64 编码字符串解码。解码后的字符串可能为中文字符串或其它的二进位资料。

例

代码如下	复制代码
<?php $str = 'VGhpcyBpcyBhbiBlbmNvZGVkIHN0cmluZw=='; echo base64_decode($str); ?>

str urlencode（$string）
此功能是方便的编码字符串时要在URL的查询的一部分用来作为一种方便的方法传递变量到下一页。

我写了这个简单的函数，创建一个GET查询的网址（）从一个数组：

 

代码如下	复制代码
<?php $query_string = 'foo=' . urlencode($foo) . '&bar=' . urlencode($bar); echo '<a href="mycgi?' . htmlentities($query_string) . '">'; ?>

看一个两个综合的函数

 

代码如下	复制代码
<?php $encryption = "username"; echo base64_encode ($encryption);//echo "dXNlcm5hbWU= "; echo "<br>"; echo urlencode("http://".$encryption);//echo " http%3A%2F%2Fusername "; echo "<br>"; echo sha1($encryption);//echo "249ba36000029bbe97499c03db5a9001f6b734ec" echo "<br>"; ?>

本文章简单的利用一个实例来介绍了关于php防止sql注入的简单办法，有需要学习的朋友可以参考一下本文章哦。

方法一：密码比对

思路：首先通过用户输入的用户名去查询数据库，得到该用户名在数据库中对应的密码，再将从数据库中查询到的密码和用户提交过来的密码进行比对。

代码： 

代码如下	复制代码
$sql="select password from users where username='$name'";        $res=mysql_query($sql,$conn);        if ($arr=mysql_fetch_assoc($res)){//如果用户名存在               if ($arr['password']==$pwd) {//密码比对                      echo "登录成功";        }else{               echo "密码输入有误";        }        }else {               echo "该用户名不存在";        }

分析：该情况下，代码健壮了不少，即使在magic_quote_gpc=Off的情况下，也能防止SQL注入攻击。因为攻击者想成功登录的话，得绕过两道坎，第一是输入的用户名要存在，这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过，但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过，显然，这已经拒绝了SQL注入攻击。

 

方法二：使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击

思路：创建一个pdo对象，利用pdo的预处理操作可以防止SQL注入攻击

代码：

代码如下

复制代码

$name=$_GET['username'];        $pwd=$_GET['password'];           $sql="select * from users where username=? and password=?";        //1.创建一个pdo对象        $pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");        //2.设置编码        $pdo->exec("set names 'utf8'");        //3.预处理$sql语句        $pdoStatement=$pdo->prepare($sql);        //4.把接收到的用户名和密码填入        $pdoStatement->execute(array($name,$pwd));        //5.取出结果        $res=$pdoStatement->fetch();        if(empty($res)){               echo "用户名或密码输入有误";        }else{               echo "登录成功";                }

以前我也讲过关于php外部发送大量数据包解决方法，那是因为服务器中了phpddos下面原理也差不多，我们可以持看。

一、【php对外发包问题】

客户说自己的vps对外发包严重，我司机房人员查看监控，截图如下：

 

在这样下去客户的机器肯定会造成ping值不稳定，甚至服务器崩溃。

二、【分析问题】

经分析发现，这些发包的PHP程序都使用了fsockopen()这个函数。强烈建议您修改php.ini文件，关闭这个函数，95%以上的程序是不需要这个函数的，个别程序如淘宝客、Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数，发包程序彻底失效，极大的增强了服务器的安全级别。

1. 关闭这个函数的流程，编辑php.ini文件搜索这个文件中的“disable_functions =”，如果这行前面有;符号的就删除这个符号，然后把这行修改为：

 

--------------------------------------------------------------------------------

disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen

 

--------------------------------------------------------------------------------

修改完成后保存退出，并重启 IIS或apache服务即可生效 。

2. 如果您的服务器上有DedeCMS程序，请特别注意检查：

 

--------------------------------------------------------------------------------

/plus/config_s.php

/plus/index.php

/data/cache/t.php

/data/cache/x.php

 

--------------------------------------------------------------------------------

这些一般是木马程序，要及时删除！

3. 请下载udpdeny.rar，使用ip策略来阻止服务器对外发包；

4. 在星外最新版本的安全包中，已带有4.0版本的ＩＰ策略【下载safe包】，您导入后就直接可以限制了外发的ＵＤＰ包。下载这个包，之后导入安全策略。但这个策略并没有关闭DNS端口,部分攻击还是有效. 为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址 "特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8" 保存后就行了 )