admin md5,我们常见的提交方式有哪些?
WEB安全之SQL注入
引言:
在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。
1、SQL注入步骤
a)寻找注入点,构造特殊的语句
传入SQL语句可控参数分为两类 1. 数字类型,参数不用被引号括起来,如 2. 其他类型,参数要被引号扩起来,如
b)用户构造SQL语句(如:'or 1=1#;admin'#(这个注入又称PHP的万能密码,是已知用户名的情况下,可绕过输入密码)以后再做解释)
c)将SQL语句发送给DBMS数据库
d)DBMS收到返回的结果,并将该请求解释成机器代码指令,执行必要得到操作
e)DBMS接受返回结果,处理后,返回给用户
因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL语句够灵活)
下面,我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)
1) 前期准备工作 先来演示通过SQL注入漏洞,登入后台管理员界面 首先,创建一张试验用的数据表:
CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;添加一条记录用于测试:
INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');接下来,贴上登入界面的源代码
<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名:</td><td><input type="text" name="username"></td></tr><tr><td>密 码:</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>附上效果图:
当用户点击提交按钮的时候,将会把表单数据提交给validate.php页面,validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步至关重要,也往往是SQL漏洞所在)
! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败!");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误,<a href=\"Login.php\">请重新登录!</a>"; } ?></body></html>注意到了没有,我们直接将用户提交过来的数据(用户名和密码)直接拿去执行,并没有实现进行特殊字符过滤,待会你们将明白,这是致命的。 代码分析:如果,用户名和密码都匹配成功的话,将跳转到管理员操作界面(manager.php),不成功,则给出友好提示信息。 登录成功的界面:
登录失败的提示:
到这里,前期工作已经做好了,接下来将展开我们的重头戏:SQL注入
2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的: select * from users where username='marcofly' and password=md5('test') 很明显,用户名和密码都和我们之前给出的一样,肯定能够成功登陆。但是,如果我们输入一个错误的用户名或密码呢?很明显,肯定登入不了吧。恩,正常情况下是如此,但是对于有SQL注入漏洞的网站来说,只要构造个特殊的“字符串”,照样能够成功登录。
比如:在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为: select * from users where username='' or 1=1#' and password=md5('') 语义分析:“#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,换句话说,以下的两句sql语句等价:
select * from users where username='' or 1=1#' and password=md5('')等价于
select* from users where usrername='' or 1=1因为1=1永远是都是成立的,即where子句总是为真,将该sql进一步简化之后,等价于如下select语句:
select * from users 没错,该sql语句的作用是检索users表中的所有字段
上面是一种输入方法,这里再介绍一种注入的方法,这个方法又称PHP的万能密码
我们再已知用户名的条件下,可以不能密码即可登入,假设用户名:admin
构造语句:
select * from users where username='admin'#' and password=md5('')等价于
select * from users where username='admin'这样即可不能输入密码登入上去的。
数据库就会错认为不用用户名既可以登入,绕过后台的验证,已到达注入的目的。
同样利用了SQL语法的漏洞。
看到了吧,一个经构造后的sql语句竟有如此可怕的破坏力,相信你看到这后,开始对sql注入有了一个理性的认识了吧~ 没错,SQL注入就是这么容易。但是,要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后,自己再去慢慢摸索吧。 有没有想过,如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢?这样的话,我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策,要知道用户和数据库打交道的途径不止这一条。
前端页面的插件有哪些?
工具类
方便操作对象,数组等的工具库
underscore.js
lo-dash 与underscore.js的api基本一致。与underscore比其优势是,效率高;可自定义构建
Sugar 在原生对象上增加一些工具方法
functional.js 提够了一些Curry的支持
Watch.js 监视对象或属性的变化
bacon.js 函数式编程,cool
streamjs 用流的方式来对数组,对象进行系列操作
异步流程控制
eventproxy 朴灵出品
Arbiter.js 详细
发布订阅
q Promise风格的
Async.js
mock
Mock.js 生成随机数据和mock Ajax 请求
jquery-mockjax mock ajax请求
时间库
moment
datejs
浏览器探测
Bowser 探测具体浏览器和版本
ua-parser-js 探测具体浏览器和版本,操作系统,设备类型等
调试
console-polyfill 能放心的使用 console.log()之类的console方法
log 让控制台输出的log有样式
Konsole.js 在页面的一个元素里输出log信息 详细
uri.js uri操作
cookie 增删改cookie的工具库
director 前端路由库 详细
BigDecimal.js 提高精度的数字操作
JSDoc 根据javascript文件中注释的信息,生成API文档 详细
hotkeys 键盘事件的封装
MD5 用 MD5 的方式加密文件的库
浏览器增强类
让一些旧浏览器变牛逼的库
Selectivizr 让IE 6-8一些的css3选择器
ieBetter 让ie6-8有高级浏览器的特性
ExplorerCanvas 让IE8-的浏览器支持canvas
CSS3 Pie 让IE6-9支持border-radious,box-shadow,linear-gradient。 可以使用.htc文件(注意Mine type)或.js文件。在用Pie.js时,box-radious的元素有背景色时,不显示背景色。。。
formFive 让旧的浏览器支持HTML5表单的一些特性,如 placeholder,autofocus
https://github.com/anselmh/object-fit 让浏览器支持object-fit这css规则
HTML5 Cross Browser Polyfills 一堆Polyfills
flexibility 让旧的 IE 也支持 Flexbox
选择器增强
Lining.js 让浏览器实现类似::nth-line(), ::nth-last-line()的效果
未归类
prefixfree 用了它,写css时,就不需要加浏览器的前缀了
表单类
jQuery-file-upload 上传文件组件 详细
zTree 文件树形视图控件
Treed 树编辑器。感觉展示的感觉很像思维导图
FileAPI 对文件选择框内的文件的一些处理
表单验证
.Validate 详细
jquery-Validation-Engine
表单元素美化
uniform 提供对下拉框,单,复选框,按钮等表单元素的美化
select2 多选下拉框
selectivity 和unfirom比较类似
DropKick 下拉框,单,多选。外观比uniform好
switchery ios7风格的开关组件
nouislider 用滚动条来设置/控制(音量等)
range.css 美化input[type=range]元素的外观
图片类
holderjs 生成占位图片
lazyload
imagesLoaded 选取的图片都加载好后执行调回
CSSgram 用CSS3的Filter实现Instagram滤镜的库
图标类
Icon Font汇总
SVG做的图标
svgicons
iconic
HYBICON 带交互效果。如 hover, click
HTML字符实体图标
http://www.amp-what.com/
transformicons 图标点击时,会有一些变换效果。如,加号变成叉号
css3patterns css3 做的可平铺纹理。浏览器兼容性不好。
浏览图片
fancybox 弹出查看图片,视屏等等 demo
yoxview 弹出查看图片,图片尺寸缩放很自然
图片墙
wookmark
UI 框架
WeUI 由微信官方设计团队为微信 Web 开发量身设计。
Framework7
UI 组件类
拖拽
dragula 支持Draggable,Dropable和Sortable。感觉比jqueryUI的轻量级,好用的样子
angular-dragula dragular 官方的 angular 版本
数据可视化(图表)
Echarts 百度出品
highcharts 功能强大。是收费的。
Plottable.JS 基于D3的一个图表库
flot 文档不给力
chartJs 中文文档 demo很漂亮,很清晰。比较轻量级。
ichartJs 中国的一个家伙搞的,感觉还不错。
时间选取组件
foundation-datepicker
DatePicker 一个简单的日历 详细
full calendar 支持脱放的方式来改变待办事宜的时间
Simple Events Calendar 外观很喜欢。收费 5$
jQuery ui datepicker 经典,不是很好看
pickadate 轻量级,手机友好的,漂亮。但貌似只能在弹出层中显示,而没有下拉这种方式显示。
zebra-datepicker 可配置性很强。但貌似只能在弹出在右上方。。。
Bootstrap-datepicker bootstrap风格。
dateRangePicker 选取时间段。bootstrap风格。该组件依赖Twitter Bootstrap, Moment.js和jQuery.
自定义滚动条
perfect scrollbar 轻量级的滚动条。外观与mac上chrome的滚动条一样。
iscroll 在移动设备上用不错
加载(Loding)效果
CSS Spinners CSS做的
Loaders.css CSS做的
表格组件
jsGrid Data Grid。 详细
backgrid 基于Backbone.js的DataGrid
excellentexport 把表格的内容生成excel。兼容 Firefox, Chrome, IE6+
datatables 表格可交互(对内容进行排序,删除等)
handsontable 生成Excel外观的数据
JSpreadsheets 表格数据的组件库
选取颜色
Spectrum
分享到SNS
JiaThis 生成分享代码。
编辑器
ace 代码编辑器,可以用来做demo演示
ckeditor
ueditor 百度做的
tinymce 对html内容进行实时的编辑
summernote 在移动设备上用不错
通知组件
notie.js
HTML5播放器
jwplayer 被大量网站使用
html5media 简单的h5player,轻量级
jplayer 功能强太,可换肤
展示
Impress.js 各种旋转,和奇特的体验
fullPage 全屏显示。用滚轮来翻页 详细
zepto.fullpage 专注于移动端的fullPage.js,依赖Zepto
pagePiling 和fullPage类似
turn.js 做一本书,带漂亮的翻页的效果
幻灯
slidesjs 挺好用的,只是那幻灯导航的CSS都要自己写,呵呵 详细
iSlider 无任何插件依赖的手机平台javascript滑动组件 详细
bgstretcher 全屏幻灯,会随着页面大小的变化而变化。
Swiper 开源、免费、强大的移动端触摸滑动插件 Swiper中文网
coin-slider 兼容IE6。蛮好的~。不过其切换方式是一块块的。不能配置切换方式。。。
wowslider 幻灯切换时各种很炫的效果。收费。
cycle2 普通的幻灯,竟然不支持垂直滚动。。。
jcarousel 普通的幻灯,不兼容IE6
reveal 3d滚动。做ppt相当不错
nodePPT 国人做的,做ppt也相当不错。有些方面比 reveal做的还好。但生成导出的html有些问题
roundabout 3d切换,看的后面图片的边
弹出框
Magnific-Popup 兼容PC,Mobile。还不错,有5k+的star
layer 国人开发的,兼容ie6+。不喜欢其调用方式。
动画效果
mixitup 用漂亮的动画效果来完成排序和筛选
jQuery.Marquee 跑马灯效果
quickflip 卡片翻转效果
卡片翻转效果2 兼容性可以。写的比较简单:1,只支持x方向翻转 2,类名都是规定好的 3,只能被调用一次。 需要改写一下。我的改进版见这里
TheaterJS 模拟两个人在屏幕上对话
midnight.js 文字颜色随着背景变,屌炸了
color-animation jquery的颜色渐变动画插件。jquery的动画不支持颜色值的变化。改库提供了这个支持。
transit 对元素进行css的变换
tagcanvas 3D标签云效果 详细
iconate 图片切换动画
Snap.js 左/右侧导航的出现效果
CSS shake 抖动动画
ClickSpark.js 点击后的一些酷炫的效果
视觉差插件
scrollorama 比较简单
superscrollorama 能做的效果更多,但要用第三方Tween的库,使用起来比较复杂。
scrolldeck
flash
swfobj 能够自动检测PC、Mac机器上各种主流浏览器对Flash插件的支持情况。它使得插入Flash媒体资源尽量简捷、安全。而且它是非常符合搜索引擎优化的原则的。此外,它能够避免您的HTML、XHTML中出现object、embed等非标准标签,从而符合更加标准。 详细
抽奖
wScratchPad 刮刮卡刮奖效果
jqueryrotate 旋转插件。可以用来做转盘抽奖效果
用户体验增强类
Intro.js 用来介绍网站的功能很不错。也可以做新手引导。
blockUI Lolding组件。
simple-hint 提示信息。用css做的。兼容性IE 9+。
dotdotdot 文字溢出时,添加在文字末尾加省略号
jQuery-menu-aim 二级菜单的切换如Amazon主页上一样迅速
AnythingZoomer 放大镜功能
美化/高亮语法代码
google-code-prettify
DlHighlight 仅支持JavaScript、CSS、XML、HTML 这4语法高亮
please 按要求随机舒服的颜色
Awesomplete 输入的智能提示,自动补全
proTip 提示。感觉比 Bootstrap 的 tip 好
Hammerjs 手势库。封装了 Swipe, Tap, Pinch, Pan等手势
动画
velocity 提高Jquery动画的性能。以及颜色动画之类的新特性。
SVG
Snap.svg 操作 SVG 的 JS 库。号称 SVG 的 jQuery。demo
walkway 以动画的方式,渐渐地画出 SVG 的路径。
测试
Mocha
Chai
Should
Snoion
DeviceMock.js mock 设备。
其他类
ZeroClipboard 将内容复制到剪切板兼容主流浏览器的解决方案 详细
html2canvas html转化成canvas,可以用来做截图。详细
Ink 响应式html邮件框架
性能测试
抓取,解析RSS内容(不能跨域,所以后台要做代理,所谓的解析Rss其实就是解析xml)
jFeed
jRss 简单版的jFeed
scriptcam 与摄像头交互
cylon.js 机器人框架,支持35个平台
Masonry 一个瀑布流框架
devices.css 移动设备边框的外观。做原型的时候用不错。
Bootstrap相关类
Bootbox.js 对bootstrap的弹出框做的一些封装
免费皮肤
AdminLTE
JS Plugins仓库
jQuery Cards 高质量的 jQuery 插件网站
jster
node modules
npmrank Sort npm packages by page rank
YOU MIGHT NOT NEED JQUERY PLUGINS 不依赖 jQuery 的 js 插件。
awesome-nodejs
Libraries.io 各种语言的库
OniUI 去哪儿网做的一套基于Avalon的框架
常用的移动端框架
zepto.js
语法与jquery几乎一样,会jquery基本会zepto~
最新版本已经更新到1.16
iscroll.js
解决页面不支持弹性滚动,不支持fixed引起的问题~
实现下拉刷新,滑屏,缩放等功能~
最新版本已经更新到5.0
underscore.js
笔者没用过,不过听说好用,推荐给大家~
该库提供了一整套函数式编程的实用功能,但是没有扩展任何JavaScript内置对象。
最新版本已经更新到1.8.2
滑屏框架
适合上下滑屏、左右滑屏等滑屏切换页面的效果
slip.js
iSlider.js
fullpage.js
swiper.js
flex布局
flex布局目前可使用在移动中,并非所有的语法都全兼容,效果良好~
pg数据库怎么远程访问?
1. 修改 postgresql 配置文件,进行远程访问的配置修改:
打开pg_hba.conf 文件,添加如下内容:
host all all 0.0.0.0/0 md5
其中 0.0.0.0/0 表示所有IP地址都可以访问PostgreSQL服务。
2. 修改PostgreSQL的配置文件,使其允许外网访问:
打开 postgresql.conf 配置文件,然后将 listen_addresses 的值修改为 * ,表示所有IP都可以访问该服务。
3. 重启PostgreSQL服务:
sudo systemctl restart postgresql
4. 确认当前PostgreSQL服务的TCP端口:
netstat -ntlp
5. 在本地PC上测试,使用psql客户端工具连接到PostgreSQL服务器:
psql -h [服务器IP] -p [端口] -U [用户]
如果能够正常连接,就表示远程访问配置成功!
网页控制硬件怎么实现?
硬件对网站访问进行控制,可以用安万webac网站访问控制方案(sso),webac方案为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。
WEBAC实现方式
Passbay?UKeyWebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下:
网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Random),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result=MD5(SerialNumber+AdminPass+Random+SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result-c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器端。
服务器端通过序列号(SerialNumber)和用户名称在数据库里面查询到该用户记录的认证字符串(SaltValue),然后以与客户端相同的算法计算出MD5Result-s=MD5(SerialNumber+AdminPass+Random+SaltValue),计算完毕后将这一结果与客户端传输过来的MD5Result-c进行比较,如果两个值相等,则表明终端插入的UKey就是之前创建的用户所使用的UKey,用户身份得到确认,网站可以据此对用户登录和访问实现精确的控制。
WEBAC特点
1、提升用户身份认证的安全性
UKey自带Passbay密码管理功能组件,这一功能组件使用户登录网页的账号密码和网页URL可在创建用户账户时直接保存在UKey中,用户通过PIN码验证后便可一键登录网页,避免用户记忆账号密码的麻烦,可以设置较为复杂的账号密码而无需担心用户遗忘账号密码,提升账号密码的安全性。此外,Passbay密码管理功能组件在保存账号密码的同时保存网页URL,并采用加密方式处理账号密码信息,有效防止网络钓鱼和盗号木马、病毒等窃取用户的账号密码,保护账号密码的安全。软硬件结合的身份认证方式也可以有效的提高用户身份认证的安全性。
2、加强对用户账号的管理和控制
只有合法持有UKey的用户才能登录网页,享受网络公司提供的各种服务,这便很好的避免了用户共享账号给网络公司带来的损失。这一方案的实现原理使得网站可以准确的确认用户身份,并在这一前提下设定用户用户登录和访问网页的权限,对用户的登录和访问实现精确的控制。
3、脱离ActiveX,易于开发
无需专门开发接口。网站开发者只需按照完全开放的WEBACHTML接口规范开发网页即可实现这一方案提供的各种功能。WEBAC支持所有WEB开发语言
4、简单易用,易于部署
因为脱离ActiveX开发,所以不需要对IE安全的设置,用户只需将UKey插入计算机,在通过PIN码认证后便可使用UKey中的信息登录网页,无需安装驱动程序和客户端软件,给用户使用带来极大的方便。