您的位置:首页 > 编程技术 > php  >  php中base64_encode和urlencode字符串加密方法

php中base64_encode和urlencode字符串加密方法

 更新时间:2016年11月25日 15:24  点击:2138
本文章介绍了关于利用了php的ase64_encode和urlencode来对字符串进行简单的加密处理,也是比较常用的方法,有需要的同学可参考一下本文章哦。

base64_decode
将 BASE64 编码字符串解码。

语法: string base64_decode(string encoded_data);

返回值: 字符串

函数种类: 编码处理

 
内容说明


本函数将以 MIME BASE64 编码字符串解码。解码后的字符串可能为中文字符串或其它的二进位资料。

 代码如下 复制代码
<?php
$str = 'VGhpcyBpcyBhbiBlbmNvZGVkIHN0cmluZw==';
echo base64_decode($str);
?>

str urlencode($string)
此功能是方便的编码字符串时要在URL的查询的一部分用来作为一种方便的方法传递变量到下一页。

我写了这个简单的函数,创建一个GET查询的网址()从一个数组:

 

 代码如下 复制代码
<?php
$query_string = 'foo=' . urlencode($foo) . '&bar=' . urlencode($bar);
echo '<a href="mycgi?' . htmlentities($query_string) . '">';
?>

看一个两个综合的函数

 

 代码如下 复制代码
<?php
$encryption = "username";
echo base64_encode ($encryption);//echo "dXNlcm5hbWU= ";
echo "<br>";
echo urlencode("http://".$encryption);//echo " http%3A%2F%2Fusername ";
echo "<br>";
echo sha1($encryption);//echo "249ba36000029bbe97499c03db5a9001f6b734ec"
echo "<br>";
?>
PHP 的 Mcrypt 加密库又需要额外设置,很多人都是直接使用md5()函数加密,这个方法的确安全,但是因为md5是不可逆加密,无法还原密码,因此也有一些不便之处,本文介绍加密函数支持私钥,用起来还是不错的
 代码如下 复制代码


<?php
// 说明:PHP 写的加密函数,支持私人密钥

 
function keyED($txt,$encrypt_key)
{
    $encrypt_key = md5($encrypt_key);
    $ctr=0;
    $tmp = "";
    for ($i=0;$i<strlen($txt);$i++)
    {
        if ($ctr==strlen($encrypt_key)) $ctr=0;
        $tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1);
        $ctr++;
    }
    return $tmp;
}  
 
function encrypt($txt,$key)
{
    srand((double)microtime()*1000000);
    $encrypt_key = md5(rand(0,32000));
    $ctr=0;
    $tmp = "";
    for ($i=0;$i<strlen($txt);$i++)
    {
        if ($ctr==strlen($encrypt_key)) $ctr=0;
        $tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1));
        $ctr++;
    }
    return keyED($tmp,$key);
}  
 
function decrypt($txt,$key)
{
    $txt = keyED($txt,$key);
    $tmp = "";
    for ($i=0;$i<strlen($txt);$i++)
    {
        $md5 = substr($txt,$i,1);
        $i++;
        $tmp.= (substr($txt,$i,1) ^ $md5);
    }
    return $tmp;

 
$key = "YITU.org";
$string = "我是加密字符";  
 
// encrypt $string, and store it in $enc_text
$enc_text = encrypt($string,$key);  
 
// decrypt the encrypted text $enc_text, and store it in $dec_text
$dec_text = decrypt($enc_text,$key);  
 
print "加密的 text : $enc_text <Br> ";
print "解密的 text : $dec_text <Br> ";
?>
本文章简单的利用一个实例来介绍了关于php防止sql注入的简单办法,有需要学习的朋友可以参考一下本文章哦。


方法一:密码比对

思路:首先通过用户输入的用户名去查询数据库,得到该用户名在数据库中对应的密码,再将从数据库中查询到的密码和用户提交过来的密码进行比对。

代码: 

 代码如下 复制代码

       $sql="select password from users where username='$name'";

       $res=mysql_query($sql,$conn);

       if ($arr=mysql_fetch_assoc($res)){//如果用户名存在

              if ($arr['password']==$pwd) {//密码比对

                     echo "登录成功";

       }else{

              echo "密码输入有误";

       }

       }else {

              echo "该用户名不存在";

       }

分析:该情况下,代码健壮了不少,即使在magic_quote_gpc=Off的情况下,也能防止SQL注入攻击。因为攻击者想成功登录的话,得绕过两道坎,第一是输入的用户名要存在,这一步可以构造一个SQL语句(‘ or 1=1%23)直接绕过,但是这样子无法通过第二道坎。因为需要用户输入一个正确的密码才能通过,显然,这已经拒绝了SQL注入攻击。

 


方法二:使用PDO的PDO::prepare()预处理操作来防止SQL注入攻击

思路:创建一个pdo对象,利用pdo的预处理操作可以防止SQL注入攻击

代码:

 代码如下 复制代码

 

       $name=$_GET['username'];

       $pwd=$_GET['password'];   

       $sql="select * from users where username=? and password=?";

       //1.创建一个pdo对象

       $pdo=new PDO("mysql:host=localhost;port=3306;dbname=injection","root","");

       //2.设置编码

       $pdo->exec("set names 'utf8'");

       //3.预处理$sql语句

       $pdoStatement=$pdo->prepare($sql);

       //4.把接收到的用户名和密码填入

       $pdoStatement->execute(array($name,$pwd));

       //5.取出结果

       $res=$pdoStatement->fetch();

       if(empty($res)){

              echo "用户名或密码输入有误";

       }else{

              echo "登录成功";        

       }
以前我也讲过关于php外部发送大量数据包解决方法,那是因为服务器中了phpddos下面原理也差不多,我们可以持看。

一、【php对外发包问题】


客户说自己的vps对外发包严重,我司机房人员查看监控,截图如下:

 


在这样下去客户的机器肯定会造成ping值不稳定,甚至服务器崩溃。


二、【分析问题】


经分析发现,这些发包的PHP程序都使用了fsockopen()这个函数。强烈建议您修改php.ini文件,关闭这个函数,95%以上的程序是不需要这个函数的,个别程序如淘宝客、Ucenter、部分API程序等才需要使用这个函数。如果关闭这个函数,发包程序彻底失效,极大的增强了服务器的安全级别。

1. 关闭这个函数的流程,编辑php.ini文件搜索这个文件中的“disable_functions =”,如果这行前面有;符号的就删除这个符号,然后把这行修改为:

 

--------------------------------------------------------------------------------


disable_functions = popen,exec,passthru,system,fsockopen,pfsockopen

 

--------------------------------------------------------------------------------


修改完成后保存退出,并重启 IIS或apache服务即可生效 。

2. 如果您的服务器上有DedeCMS程序,请特别注意检查:

 

--------------------------------------------------------------------------------


/plus/config_s.php

/plus/index.php

/data/cache/t.php

/data/cache/x.php

 

--------------------------------------------------------------------------------


这些一般是木马程序,要及时删除!

3. 请下载udpdeny.rar,使用ip策略来阻止服务器对外发包;

4. 在星外最新版本的安全包中,已带有4.0版本的IP策略【下载safe包】,您导入后就直接可以限制了外发的UDP包。下载这个包,之后导入安全策略。但这个策略并没有关闭DNS端口,部分攻击还是有效. 为了解决这个问题,你也可以调整IP策略,限制udp只能访问特定的DNS服务器IP,如8.8.8.8,除非黑客攻击这个IP,不然攻击也是无效的,你可以在网卡DNS中设置一个你才知道的DNS IP,并且不要公开,然后调用IP策略中的udp open部分就可以解决.(打开IP策略的属性,双击open,将open中的两条udp记录删除任意一条,在保留的这条中,双击,改成 地址 从源地址 任何地址 到目标地址 "特定IP 这个IP就是设置为你自己的DNS IP,如8.8.8.8" 保存后就行了 )

 

开启magic_quote_gpc=on之后,能实现addslshes()和stripslashes()这两个函数的功能。在PHP4.0及以上的版本中,该选项默认情况下是开启的,所以在PHP4.0及以上的版本中,就算PHP程序中的参数没有进行过滤,PHP系统也会对每一个通过GET、POST、COOKIE方式传递的变量自动转换,换句话说,输入的注入攻击代码将会全部被转换,将给攻击者带来非常大的困难。

       虽然如此,攻击者仍然有机会进行SQL注入攻击。。。。。。前提是,当参数为数字型的时候,且未经过Intval()函数的处理,因为经过intval()的处理之后,所有的数据就都会强制转换成数字。

       前面已经提到过,开启magic_quote_gpc=on之后,相当于使用addslshes()这个函数。但是数字型没有用到单引号,所以理所当然的绕过了addslshes()函数的转换了。而使用MySQL自带的char()函数或者HEX(),char()可以将参数解释为整数并且返回这些整数的ASCII码字符组成的字符串,使用十六进制表示必须在数字前加上0x。

       实例演示:

       假设我们知道管理员的用户名为admin,密码不知道。并且已经将magic_quote_gpc启用。

       SQL语句:

 代码如下 复制代码
$sql="select * from users where username=$name and password='$pwd'";

注意:变量$name没加引号

       此时,在地址栏中输入username=admin%23,则合成后的sql语句为:

  

 代码如下 复制代码
select * from users where username='admin' #' and password='';

  这时候通过url地址栏输入的单引号(’)将被加上反斜线,该sql语句将失效。

  admin转换成ASCII后是char(97,100,109,105,110)

  此时在地址栏中输入

 代码如下 复制代码
username=char(97,100,109,105,110)%23

  SQL语句就变成了:

  

 代码如下 复制代码
select * from users where username=char(97,100,109,105,110)#' and password='';

  执行结果为真,就可以顺利进入后台。

  对于数字型注入攻击,必须在任何的数字型参数放入数据库之前使用intval()对参数进行强制转换成数字,从而可以断绝数字型注入漏洞的产生。

  比如:

 代码如下 复制代码

$id=intval($_GET[‘id’]);

  select * from articles where id=’$id’;

  地址栏中输入:

 代码如下 复制代码
id=5’ or 1=1%23

  SQL语句将变成:

 代码如下 复制代码

select * from articles where id=’5’;

  而不是select * from articles where id=’5’ or 1=1#;

总结:

对于每一个变量都记得加上单引号,比如where username=’$name’,
开启magic_quote_gpc并不是绝对安全的,对于数字型注入攻击,仅仅使用addslashes()函数进行转换是不够的,还需使用intval()强制将参数转换成数字

[!--infotagslink--]

相关文章

  • js URLdecode()与urlencode方法支持中文解码

    下面来介绍在js中来利用urlencode对中文编码与接受到数据后利用URLdecode()对编码进行解码,有需要学习的机友可参考参考。 代码如下 复制代码 ...2016-09-20

  • php中json_decode()和json_encode()用法与中文不显示解决办法

    本文章介绍了关于php中json_decode()和json_encode()用法与中文不显示解决办法,有需要的朋友可以参考一下下。 php中json_decode()和json_encode() 1.json_decode(...2016-11-25

  • C#中截取字符串的的基本方法详解

    这篇文章主要介绍了C#中截取字符串的的基本方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧...2020-11-03

  • c#中判断字符串是不是数字或字母的方法

    这篇文章介绍了C#判断字符串是否数字或字母的实例,有需要的朋友可以参考一下...2020-06-25

  • 图解PHP使用Zend Guard 6.0加密方法教程

    有时为了网站安全和版权问题,会对自己写的php源码进行加密,在php加密技术上最常用的是zend公司的zend guard 加密软件,现在我们来图文讲解一下。 下面就简单说说如何...2016-11-25

  • PostgreSQL判断字符串是否包含目标字符串的多种方法

    这篇文章主要介绍了PostgreSQL判断字符串是否包含目标字符串的多种方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下...2021-02-23

  • 详解C++ string常用截取字符串方法

    这篇文章主要介绍了C++ string常用截取字符串方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧...2020-04-25

  • 源码分析系列之json_encode()如何转化一个对象

    这篇文章主要介绍了源码分析系列之json_encode()如何转化一个对象,对json_encode()感兴趣的同学,可以参考下...2021-04-22

  • php字符串按照单词逐个进行反转的方法

    本文实例讲述了php字符串按照单词进行反转的方法。分享给大家供大家参考。具体分析如下:下面的php代码可以将字符串按照单词进行反转输出,实际上是现将字符串按照空格分隔到数组,然后对数组进行反转输出。...2015-03-15

  • 使用list stream: 任意对象List拼接字符串

    这篇文章主要介绍了使用list stream:任意对象List拼接字符串操作,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教...2021-09-09

  • MySQL 字符串拆分操作(含分隔符的字符串截取)

    这篇文章主要介绍了MySQL 字符串拆分操作(含分隔符的字符串截取),具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧...2021-02-22

  • C# 16 进制字符串转 int的方法

    这篇文章主要介绍了C# 16 进制字符串转 int的方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下...2020-06-25

  • 获取中文字符串的实际长度代码

    JS中默认中文字符长度和其它字符长度计算方法是一样的,但某些情况下我们需要获取中文字符串的实际长度,代码如下: 复制代码 代码如下: function strLength(str) { var realLength = 0, len = str.length, charCode = -1;...2014-06-07

  • vue接口请求加密实例

    这篇文章主要介绍了vue接口请求加密实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧...2020-08-12

  • AES加密解密的例子小结

    关于AES加密的算法我们就不说了,这里主要给各位演示了三个关于AES算法实现的加密例子,希望本文章能给你带来帮助。 话不多说,先放上代码,一共有两个文件:AES.php(aes算...2016-11-25

  • C#实现字符串转换成字节数组的简单实现方法

    这篇文章主要介绍了C#实现字符串转换成字节数组的简单实现方法,仅一行代码即可搞定,非常简单实用,需要的朋友可以参考下...2020-06-25

  • node.JS md5加密中文与php结果不一致怎么办

    这次文章要给大家介绍的是node.JS md5加密中文与php结果不一致怎么办,不知道具体解决办法的下面跟小编一起来看看。 因项目需要,需要Node.js与PHP做接口调用,发现nod...2017-07-06

  • php 中英文混合字符串截取

    文章介绍一个实用的函数,我们如果用php substr来截取字符在中文上处理的很有问题,今天自己写了一个比较好的中文与英文字符截取的函数,有需要的朋友可以参考下。 ...2016-11-25

  • C#实现对字符串进行大小写切换的方法

    这篇文章主要介绍了C#实现对字符串进行大小写切换的方法,涉及C#操作字符串的技巧,具有一定参考借鉴价值,需要的朋友可以参考下...2020-06-25

  • PostgreSQL 字符串处理与日期处理操作

    这篇文章主要介绍了PostgreSQL 字符串处理与日期处理操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧...2021-02-01