ホームページ  >  記事  >  バックエンド開発  >  PHP 言語におけるアクティブとパッシブ プロセス制御_PHP チュートリアル

PHP 言語におけるアクティブとパッシブ プロセス制御_PHP チュートリアル

WBOY
WBOYオリジナル
2016-07-21 15:15:02920ブラウズ

過去 1 年間、ほとんどの PHPer は、淘宝網の改訂、クラウド コンピューティング、Tencent オープン プラットフォーム、オンライン ゲームなどのプロジェクトに熱心に取り組んできました。これらの作業は、PHP 言語が今後 10 年間も業界をリードし続けることができると信じています。私たちは次の 50 年、100 年を楽しみにしていますが、私たちは PHP を知っていることを除けば、まだ非常に強力な集団であり、生計を立てるのは困難です。皆さん、頑張ってください

例えば、あなたが上司に駆け寄るのは、自分から見ても、上司から見ても、あなたは積極的で前向きです。 . 上司があなたにオフィスに行くように頼んで、淘宝網に出てきてあなたに20%の給料を上げるように頼んだ場合、これは受動的と呼ばれるものであり、積極的と受動的は単に理解されていると思います。このように、このような厄介なアクティブおよびパッシブの問題もプログラム内で発生します。
クライアントが商品を購入すると、HTTP プロトコルを通じて QQ に通知されます。 ('http://www.qq.com/api.php?add_saleinfo=buy_qq&orderid=12345&pay=888&email=a@qq .com');

このコードは安全であると考えられている buy.qq.com で実行されます。しかし、現実はどうなのでしょうか? 誰かがこのインターフェイスを配布した場合、誰でも注文情報を偽造して埋め込むことができます。どのようにソースを制限しても、データを確認してください。コードを書いた人が最も危険です。コードを書いた人は大きな権限を持っているので、どうすればこれを防ぐことができるのでしょうか? http://www.qq.com/api.php?add_saleinfo=buy_qq は注文情報を受信しないように変更されますが、トークン値は受信されます。最後に、インターフェイスは buy のクエリ インターフェイスをコールバックします。 qq を作成し、それをデータベースに保存します。一般のユーザーは、buy.qq のクエリ インターフェイスを知っていても、基本的に qq.com に影響を与えることはできません。それは積極的であり、常に混乱することはありませんが、倉庫保管について積極的に分析して考えます

同じ原理で、たとえば、過去に公開された一部のブラウザもこの問題を抱えています。これは、PHP がこのように記述されているため、Web ページ内の pid 値が大きくなり、製品購入リンクを含む製品情報を受け取ります。この購入リンクは、Web マスターを受動的にするものです。href リンクのユーザーが収集され、ブラウザによって pid が変更される可能性があります。その後、誰かがこの問題を考え出したことがわかります。つまり、製品リンクは直接表示されず、PHP を通じて変更されます。www.qq.com/tao/buy.php となります。 ?sid=aaaa333 sid は pid 値ではなく、すべての作業は buy.php によって行われます。ホストするには、率先して分析とセキュリティ検出作業を実行してください。

QQ インターネット 2.0 は、インターネット サイトで広く使用されています。 graph.qq.com はユーザーデータの中心としてユーザーのセキュリティを確保していますか? アクセス速度の確保を前提として、QQ ログインの現在のプロセスは次のとおりです。まず、appid appkey callbackurl が結合されます。これは、多くのサイトが qqlogin.php に直接アクセスすることで qq ログイン ページにジャンプできる理由です。これは、パラメータがすべて固定されており、ログイン プロセスのセキュリティが非常に優れているためです。はまだ qq.com にあります。これは、PHPer でよく言われるシングル サインオンです。ログインに成功すると、callbackurl ページに直接ジャンプします。この時点で callbackurl によって取得される情報は、まだ不十分であることを証明します。ユーザーが正常にログインした場合は、トークン値のみを取得したため、2 番目のステップに進み、トークン値を使用して QQ API インターフェイスでユーザーの openid をクエリし、この方法で QQ が主導権を持ってログインを完了する必要があります。 、クエリの結果は単に成功したかどうかではなく、対応するパラメータとプロンプト情報が後からどのように追加されたとしても互換性があり、これは数億のユーザーを抱える企業にとって非常に重要です。内部セキュリティは、ドメイン名と appid の対応も決定します。技術的な観点から見ると、PayPal や Alipay など、これには多くの例があります。



http://www.bkjia.com/PHPjc/326143.html

www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/326143.html技術記事過去 1 年間、ほとんどの PHPer は、淘宝網の改訂、クラウド コンピューティング、Tencent オープン プラットフォーム、オンライン ゲームなどのプロジェクトに熱心に取り組んできました。これらの作業は PHP 言語が引き続き業界をリードできると信じています。 .
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。