月度归档:2014年12月

Yii中在线编辑器接收用户输入内容,如何防御XSS攻击

发表回复 
//xss攻击演示代码
$str = '<img src="http://www.baidu.com/img/bdlogo.png" width="180" onload="window.location=\'http://www.baidu.com\'">';
//echo $str; //页面自动跳转到baidu.com

$p = new CHtmlPurifier();
$str = $p->purify($str);
echo $str; //已是安全代码

单独使用
require_once __DIR__ . ‘/HTMLPurifier.standalone.php’;

$html = ‘test‘;

$config = HTMLPurifier_Config::createDefault();

//HTMLPurifier的配置文档主要是两级分类:
//大类分Attr(属性)、HTML(html标签)、AutoFormat(自动格式)、CSS(css配置)、Output(输出配置)
//小类选择通过大类名称加.加小类名称可以完成

//过滤掉所有html标签很简单,原因则在白名单机制完成
$config->set(‘HTML.Allowed’, ”);

//配置允许的html标签
$config->set(‘HTML.Allowed’, ‘p,a,b,span’);

//保留超链接标签a及其href链接地址属性
$config->set(‘HTML.Allowed’, ‘a[href]’);

//并自动添加target属性值为’_blank’
$config->set(‘HTML.TargetBlank’, true);

// 让文本自动添加段落标签,前提是必须允许P标签的使用
//$config->set(‘HTML.Allowed’, ‘p’);
//$config->set(‘AutoFormat.AutoParagraph’, true);

//$config->set(‘HTML.Allowed’, ‘p,a,b,span’);

// 清除空标签
$config->set(‘AutoFormat.RemoveEmpty’, true);
$purifier = new HTMLPurifier($config);
$html = $purifier->purify($html);
echo htmlspecialchars($html);

让MySql支持Emoji表情(MySQL中4字节utf8字符保存方法)

发表回复

UTF-8编码有可能是两个、三个、四个字节。Emoji表情是4个字节,而Mysql的utf8编码最多3个字节,所以数据插不进去。

解决方案:将Mysql的编码从utf8转换成utf8mb4。

CREATE TABLE IF NOT EXISTS we_contact(
 `id` INT AUTO_INCREMENT PRIMARY KEY,
  `openid` VARCHAR(50) NOT NULL  COMMENT '用户标识',
  `nickname` VARCHAR(500) NOT NULL  DEFAULT '' COMMENT '昵称'
)ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

对于已建好的表

转换成utf8mb4 
   命令:ALTER TABLE `TABLE_NAME` CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; (将TABLE_NAME替换成你的表名)
将需要使用emoji的字段设置类型为: 
   命令:ALTER TABLE `TABLE_NAME`MODIFY COLUMN `COLUMN_NAME`  text CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci;

使用 java连接数据库时

在Connector/J的连接参数中,不要加characterEncoding参数。 不加这个参数时,默认值就时autodetect。

使用PHP
SET NAMES 'utf8mb4';
例如Yii框架中  db=>array('connectionString' => '...',  'charset' => 'utf8mb4' ),

测试MySQL版本
Server version: 5.6.20

Linux ntpdate同步网络时间

发表回复

在Linux下,我们可以使用ntpdate进行网络时间的同步,而不是我们自己去设置时间。这个命令的使用很简单
ntpdate 0.cn.pool.ntp.org
定时的同步时间

vim /etc/crontab
10 5 * * * root (/usr/sbin/ntpdate 0.cn.pool.ntp.org && /sbin/hwclock -w) &> /var/log/ntpdate.log

每天的5点10分crontab运行一次命令,自动同步时间。

如果你具有多台的服务器,不要使用这个方法来定时的同步的你服务器,请使用ntpd来进行,这个还可以校准始终的问题。详情查看鸟哥

使用ntpdata造成的时间的越变还可能引发因某些依赖连续时间的程序的问题。一般第一次使用ntpdate,接下来使用ntpd服务来不断的调整时间。参见http://blog.sina.com.cn/s/blog_3f3422fd0100f06c.html

将时区设置为东8区的时间,虽然服务器在全球的不同地方,但是我们人在中国,看着中国的时间比较有感觉。

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
date
# Mon Mar 31 11:02:55 CST 2014
另外如果使用date命令查看时间,发现刚刚好相差8个小时或者其他的小时,那么应该就是你的时区设置不对,快快修改一下吧。

网络时间同步服务器列表

全球那么多的网络时间同步器,那么使用哪个好呢。我们知道数据在网络上流动是由延迟的,因此我们选择离我们服务器越近的服务器进行同步,时间越准。

时间服务器分为两种,一种是一级时间服务器,另外一种是二级时间服务器。我们如果是同步自己的服务器的时间,那么选择二级时间服务器,因为一级时间服务器是为二级时间服务器提供时间校对服务器,我们尽量不要增加一级服务器的压力。这种层级的概念和DNS的层级概念是一致的。

一级时间服务器列表:http://support.ntp.org/bin/view/Servers/StratumOneTimeServers

二级时间服务器列表:http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers

附二级服务器列表:

  • 0.pool.ntp.org  有域名负载均衡
  • 0.cn.pool.ntp.org  有域名负载均衡
  • ntp.tuna.tsinghua.edu.cn 清华大学
  • time.windows.com    微软

ssh建立信任关系无密码登陆

发表回复

本机
ssh-keygen -t rsa (后面3个直接回车即可)
cd ~/.ssh
ls
发现创建了2个文件 id_rsa(私钥)   id_rsa.pub (公钥)

将公钥复制到服务器上对应用户宿主目录/.ssh/authorized_keys中
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh