php怎么加密账号密码

1、php怎么加密账号密码，php如何对URL参数加密和解密？

对url密文用decode进行URL编码一下，接收时再用urldecode解码下再解密，这样做是为了避免被密文中的特殊字符影响

2、服务器linux环境运行php？

以centos7为例，模式为lnmp。（使用root用户登录）

更新阿里云yum源

1、进入源目录

# cd /etc/

yum.repos.d/

2、备份原repo文件

# for name in `ls`; do mv $name ${name}.bak ; done

3、下载阿里云yum源

# curl

http://mirrors.aliyun.com/repo/Centos-7.repo > Centos-7.repo

4、清理并生成缓存并安装epel

nginx安装

1、安装pcre,可以支持rewrite功能。

# yum install pcre*

2、安装openssl,可以支持ssl功能

# yum install openssl*

3、从官网下载稳定版，此时是1.16.1，然后解压（如果没有wget ，请执行yum install wget）

# cd /usr/local/src

# wget http://nginx.org/download/nginx-1.16.1.tar.gz

# tar -zxvf nginx-

1.16.1.tar.gz

# cd nginx-1.16.1

4、安装软件三板斧（./configure , make , make install）。

# ./configure --prefix=/usr/local/nginx-1.16.1 --with-http_ssl_module --with-http_v2_module --with-http_stub_status_module --with-pcre

# make

# make install

5、centos7防火墙打开http， https

# firewall-cmd --zone=public --add-service=http --permanent

# firewall-cmd --zone=public --add-service=https --permanent

# firewall-cmd --reload

6、启动nginx

# /usr/local/nginx-1.16.1/sbin/nginx

当通过你系统的IP地址访问出现如下画面，则安装成功

关闭nginx：

# /usr/local/nginx-1.16.1/sbin/nginx -s stop

当改变了nginx.conf后，要重置：

# /usr/local/nginx-1.16.1/sbin/nginx -s reload

安装php和php-fpm

1、安装php7，这里选择php70w，需更新webtatic源

# rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

# rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

# yum install php70w

2、安装php扩展，这里以xml扩展示例，你也可以使用yum list php70w*查看所有扩展。

#yum install php70w-xml

3、查看安装结果

#php -v (查看版本)

#php -m （查看扩展）

4、安装php-fpm,（这个与nginx一起使用来解析PHP脚本的）

#yum install php70w-fpm

5、启动php-fpm，并加入开机启动

# systemctl start php-fpm

# systemctl enable php-fpm

6、新建www用户

# useradd www -s /sbin/nologin

7、修改nginx.conf,加入php解析

第2行

第45行

第65-71行改成如下图所示：

8、将html目录所有者改为www，并将权限改为755

# chown -Rf www:www /usr/local/nginx-1.16.1/html

# chmod -Rf 755 /usr/local/nginx-1.16.1/html

9、重启nginx看到如下结果，即配置成功

# /usr/local/nginx-1.16.1/sbin/nginx -s reload

3、php能实现模拟登陆吗？

用php模拟登陆主要分为三部分

1. post数据。

2.根据返回的http头，从中截出cookie段。

3.伪造http头发送请求。 我这里以用php抓取163相册的需要密码才能访问的目录为例。 <?php function posttohost($url, $data) //post数据 { $url = parse_url($url); if (!$url) return "couldn't parse url"; if (!isset($url['port'])) { $url['port'] = ""; } if (!isset($url['query'])) { $url['query'] = ""; } $encoded = ""; foreach ($data as $k=>$v) { $encoded .= ($encoded ? "&" : ""); $encoded .= rawurlencode($k)."=".rawurlencode($v); } $fp = fsockopen($url['host'], $url['port'] ? $url['port'] : 80); if (!$fp) return "Failed to open socket to $url[host]"; fputs($fp, sprintf("POST %s%s%s HTTP/1.0\n", $url['path'], $url['query'] ? "?" : "", $url['query'])); fputs($fp, "Host: $url[host]\n"); fputs($fp, "Content-type: application/x-www-form-urlencoded\n"); fputs($fp, "Content-length: " . strlen($encoded) . "\n"); fputs($fp, "Connection: close\n\n"); fputs($fp, "$encoded\n"); $line = fgets($fp,1024); if (!eregi("^HTTP/1\.. 200", $line)) return; $results = ""; $inheader = 1; while(!feof($fp)) { $line = fgets($fp,1024); if ($inheader && ($line == "\n" || $line == "\r\n")) { $inheader = 0; } elseif ($inheader) { $results .= $line; } } fclose($fp); return $results; }

4、如何在Linux下添加？

Linux删除用户组和用户时常用的一些命令和参数。

1、从组中删除用户

编辑/etc/group 找到GROUP1那一行，删除 A

或者用命令

gpasswd -d A GROUP

2、建用户：

adduser phpq //新建phpq用户

passwd phpq //给phpq用户设置密码

3、建工作组

groupadd test //新建test工作组

4、新建用户同时增加工作组

useradd -g test phpq //新建phpq用户并增加到test工作组

注：：-g 所属组 -d 家目录 -s 所用的SHELL

5、给已有的用户增加工作组

usermod -G groupname username

或者：gpasswd -a user group

6、临时关闭：在/etc/shadow文件中属于该用户的行的第二个字段（密码）前面加上*就可以了。想恢复该用户，去掉*即可。

或者使用如下命令关闭用户账号：

passwd peter –l

重新释放：

passwd peter –u

6、永久性删除用户账号

userdel peter

groupdel peter

usermod –G peter peter （强制删除该用户的主目录和主目录下的所有文件和子目录）

7、显示用户信息

id user

cat /etc/passwd

5、我们常见的提交方式有哪些？

WEB安全之SQL注入

引言：

在开发网站的时候，出于安全考虑，需要过滤从页面传递过来的字符。通常，用户可以通过以下接口调用数据库的内容：URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露，重则服务器被拿下。

1、SQL注入步骤

a)寻找注入点，构造特殊的语句

传入SQL语句可控参数分为两类 1. 数字类型，参数不用被引号括起来，如 2. 其他类型，参数要被引号扩起来,如

b)用户构造SQL语句(如：'or 1=1#；admin'#（这个注入又称PHP的万能密码，是已知用户名的情况下，可绕过输入密码）以后再做解释)

c)将SQL语句发送给DBMS数据库

d)DBMS收到返回的结果，并将该请求解释成机器代码指令，执行必要得到操作

e)DBMS接受返回结果，处理后，返回给用户

因为用户构造了特殊的SQL语句，必定返回特殊的结果(只要你的SQL语句够灵活)

下面，我通过一个实例具体来演示下SQL注入 二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作 先来演示通过SQL注入漏洞，登入后台管理员界面 首先，创建一张试验用的数据表：

CREATE TABLE `users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(64) NOT NULL, `password` varchar(64) NOT NULL, `email` varchar(64) NOT NULL,PRIMARY KEY (`id`),UNIQUE KEY `username` (`username`) ) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试：

INSERT INTO users (username,password,email)VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来，贴上登入界面的源代码

<html><head><title>Sql注入演示</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body ><form action="validate.php" method="post"><fieldset ><legend>Sql注入演示</legend><table><tr><td>用户名：</td><td><input type="text" name="username"></td></tr><tr><td>密 码：</td><td><input type="text" name="password"></td></tr><tr><td><input type="submit" value="提交"></td><td><input type="reset" value="重置"></td></tr></table></fieldset></form></body></html>

附上效果图：

当用户点击提交按钮的时候，将会把表单数据提交给validate.php页面，validate.php页面用来判断用户输入的用户名和密码有没有都符合要求（这一步至关重要，也往往是SQL漏洞所在）

! <!--前台和后台对接--><html><head><title>登录验证</title><meta http-equiv="content-type" content="text/html;charset=utf-8"></head><body><?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败！");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select * from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query);if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误，<a href=\"Login.php\">请重新登录！</a>"; } ?></body></html>

注意到了没有，我们直接将用户提交过来的数据(用户名和密码)直接拿去执行，并没有实现进行特殊字符过滤，待会你们将明白，这是致命的。 代码分析：如果，用户名和密码都匹配成功的话，将跳转到管理员操作界面(manager.php)，不成功，则给出友好提示信息。 登录成功的界面：

登录失败的提示：

到这里，前期工作已经做好了，接下来将展开我们的重头戏：SQL注入

2) 构造SQL语句 填好正确的用户名(marcofly)和密码(test)后，点击提交，将会返回给我们“欢迎管理员”的界面。 因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的： select * from users where username='marcofly' and password=md5('test') 很明显，用户名和密码都和我们之前给出的一样，肯定能够成功登陆。但是，如果我们输入一个错误的用户名或密码呢？很明显，肯定登入不了吧。恩，正常情况下是如此，但是对于有SQL注入漏洞的网站来说，只要构造个特殊的“字符串”，照样能够成功登录。

比如：在用户名输入框中输入:' or 1=1#,密码随便输入，这时候的合成后的SQL查询语句为： select * from users where username='' or 1=1#' and password=md5('') 语义分析：“#”在mysql中是注释符，这样井号后面的内容将被mysql视为注释内容，这样就不会去执行了，换句话说，以下的两句sql语句等价：

select * from users where username='' or 1=1#' and password=md5('')

等价于

select* from users where usrername='' or 1=1

因为1=1永远是都是成立的，即where子句总是为真，将该sql进一步简化之后，等价于如下select语句：

select * from users 没错，该sql语句的作用是检索users表中的所有字段

上面是一种输入方法，这里再介绍一种注入的方法，这个方法又称PHP的万能密码

我们再已知用户名的条件下，可以不能密码即可登入，假设用户名：admin

构造语句：

select * from users where username='admin'#' and password=md5('')

等价于

select * from users where username='admin'

这样即可不能输入密码登入上去的。

数据库就会错认为不用用户名既可以登入，绕过后台的验证，已到达注入的目的。

同样利用了SQL语法的漏洞。

看到了吧，一个经构造后的sql语句竟有如此可怕的破坏力，相信你看到这后，开始对sql注入有了一个理性的认识了吧~ 没错，SQL注入就是这么容易。但是，要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后，自己再去慢慢摸索吧。 有没有想过，如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢？这样的话，我们的万能用户名' or 1=1#就无法使用了。但这并不是说我们就毫无对策，要知道用户和数据库打交道的途径不止这一条。