• PHP请不要再用这个函数获取真实IP

    我已经有很长一阵子没有写过技术文章了,但是今天既然遇到了还是写了吧。

    有很多人遇到过PHP获取IP的问题,然后就查找相关函数。无奈有些函数,虽然想法是好的,但是存在非常严重的问题

    这个函数流传之广至于我在实习单位就见过不少次;流毒之久已经见了好几年;而毒害之深已经不是只言片语能说明白。

    废话不多说,请看:

    这是最经典的版本(还有好多变体万变不离其宗,不挂了)。各位觉得这没有问题?或许获取这些可以做到获取代理后面的用户IP,但是各位也要知道X-Forwarded-For等等这个东西是在Header里的,这势必就有一个问题:可以被轻轻松松伪造。

    这会有什么问题?

    1. 有人可以用来伪造自己的地址,常用投票刷票。开发者以为用了这个就能获取真实IP避免刷票,万万没想到居然成为了刷票漏洞
    2. 有PHPer用这个函数获取IP限制访问频率,大家也知道这样根本没有意义。个别场景这种方式可以把正常IP丢进黑名单,做到不打瘫服务器正常用户就无法访问
    3. 最可怕的:有人用这个函数获取IP然后直接放进日志。但是过滤SQL注入字符的脚本只检查POST和GET,结果被IP注入。同时有一部分waf凑巧也不查Header……导致被注入,攻击者拿到了数据库重要数据

    所以各位PHPer注意,这个函数有缺陷。

    正常情况下使用代理访问的用户少之又少,甚至可以忽略。而真正想用代理隐藏自己的,也会想办法让你获取不到。投票系统最好做到依靠别的平台确定参与者身份;限制访问频率最重要是到你服务器的最后的IP和代理也无关。

    建议直接获取REMOTE_ADDR。如果真的要获取X-FORWARDED-FOR,也请过滤,并且考虑被伪造可能。

  • 2017.7.14 Restkhz一周年

    今天,先给法国的革命者发一个贺电。学校补课。于是我用一个kindle写下了写一篇文章。这篇文章只是随便说说,并没有技术价值。不喜欢的就不要浪费时间了。

    这个时候,又不知道说什么了。一周年,经历了什么,我不知道。因为它们都淹没在了单调的生活中。但是这个博客,从芝加哥回到中国。理应欢迎,就在那几分钟后,站点就封禁了。

    工信部要求我备案。

    备案?好,我去做。手续一堆,当然,无论是从年龄还是收入,我都不行。没有公章,内容不合适。身份证什么的简直在查户口。

    于是我的整站代码和数据告别了它的祖国。去了地球上另一个地方。并且,为了躲开我祖国的各个ISP用一些不太好的无耻手段(我好奇在六一法颁布后怎么还这么嚣张,国企不受法律管控么?)插入一些花花绿绿的流氓广告,加上了SSL。

    回头生活,面对我的是高三生活。

    如果我选择职校,或许我是一个学霸。毕竟一进来就会写一些小程序,会建站,操作Linux做做运维,写写PHP做一些网站,弄弄CTF题目什么的,甚至能做一些简单的安全审计。并且中考分数在这个城市里不算低。

    没有如果。

    就是因为中考分数,我选择了高中。对,只是因为分数。我成了它的奴隶。我在其中选择了高中的痛苦。而在痛苦和挫败中,我选择了继续。继续——活着。我习惯了倒数,习惯了批评(从小学开始)。我知道这个制度是失败的,同时,我在这个失败的制度中是失败的。我选择了更加失败的对策:屈服,来成为知道失败的人。我很无奈。

    国家制度只是一种为了自己服务的东西。就像《1984》中的,党只为自己服务。其实不管是那个国家哪个制度(这里面肯定没有可爱而民主的中国)都只是为了自己的运转和生产。超生命体就是这种东西(《失控》的一个论述点)。国家在意的和百姓的幸福指数恐怕关系不大。你只听过GDP,然而没有幸福感的指数。一切的利民的政策更多是为了社会发展和稳定。个人的自我价值几乎是没有的。“个人的价值体现于对社会的贡献”这句话是社会说的。就像刘鹏说你的价值是对刘鹏好一样。我告诉你,这一切只是为了生存,你也是为了这个,在出卖自己的灵魂。活在一个谎言的世界,心甘情愿的被剥削。

    所以不要骂这里的(号称民主的)教育是怎么样的没个性,它本来目的就不是这个。只是为了把人口压力变成优势,你的个性不算优势,反而会破坏它的稳定。

    所有的谎言破了,你知道你是什么了。不,你知道你在这里,什么都不是。你是生物进化的一个棋子,金融生态中的一个无力的单元,社会的细胞,政策的试验品。而且,没谁尊重你。

    这就是人。蚂蚁一般。

    于是,这个博客的主人,碰碎了这个谎言和梦境,却跌进了空虚的地方,内心惶恐,无药可救。继续靠着倒数的排名,存在在一个谎言做的天花板的笼子里,靠着自己所谓的优势,继续麻痹自己。

  • Orange Pi的开坑及简单的zero芯片温度测试

    入手OPI

    在几个月之前我买了两个Opi。价格相当便宜,适合穷逼学生党,是Rpi良好的替代品,一个lite,另一个是zero。系统支持不太多,然而自己编译也是可以的。

    其中还是又坑的。lite的电源线是他们设计的,不是那根OTG。要特地买一条他们的电源线。然而zero又是OTG(搞不懂为什么这样???)

    另一方面的坑就是这玩意发热也远高于Rpi所以必须要一个散热片,官方的散热片,别买,没用。H2+,H3的芯片简直就是电炉。没散热一会飙到75℃。官方散热片就一个平的石墨片。

    顺便提醒,建议买一个USB转TTL的板子,尤其是Lite。没有有线网口的。

    买东西,一定要看它还没有什么

    Orange Pi Lite: 4核1.6Ghz,512M内存。2USB,板载wifi,红外,麦克风,OTG。(无有线网口)。带TTL。69¥

    [Read More…]

  • 2017.7.7的一些杂碎记录

    很久没写博客了。这篇文章打算在7.14(一周年)发的。然而想想还是算了。马上学校开始补课了。

    服务器换了,也必须换了。原来的服务器在西雅图,丢包已经到百分之六十几。根本打不开了。不知道这个”国域网”怎么想的。买回阿里的服务器吧,域名要备案。一些原因,我没这个条件。于是国内的阿里服务器买了也就泡了。脑洞一开,弄了一个新的vps。好了,现在一穷二白。几乎是最低配的服务器。我也不想说什么了。alipay现在空荡荡的是个位数了。

    好了,我(和谐某个语气词)高三了。以后博客更新频率不可避免的更低。今天过来维护了一下,前几天做了一个全站SSL。避免某些偷窥的机器吧。顺手改了改很久以前的错误。树莓派NAS可以有11.5MB/s的速度。

     

    这几天做了一个大玩意。开始构建一个PHP框架(其实MVC已经做完了)。由于代码乱风格丑,于是它有一个亲切的名字:Ugly PHP Framwork。简称UGPF.

    下图是首页。缺陷问题一堆一堆。

    打算把它耗完。URL风格是学CI的(类似ugly/index.php/Controller/Action/P1_name/P1/P2_name/P2)。这很要命。而且处理的很差。比如遇到根目录不是该框架又没有index.php就完全无法处理了。此时正在考虑在入口文件中获取根目录和URL做一个对比。然而这又有缺陷……明显这个index.php是不好省了……

    好吧,这个框架我会打磨完,然后推翻重构。=_=

    剩下的时间我应该去写作业。

    没几天就要报道交作业了。正如我的知乎签名所说:

         “这个人很懒,什么作业都没有写”

    ——休止千鹤

  • Aria2下载机和web界面的安装

    继昨天那个文章,真心后悔。Transmission只能下载BT。aria2可以下载HTTP,FTP, 磁力,当然也能下载种子。所以其实比起来Transmission真的太low(而且名字死长)

    [Read More…]

  • Rpi2b+安装transmission做BT下载

    文章前面我先啰嗦一下

    本人Rpi安装OSMC(debian系统),用USB-HUB挂载硬盘(这玩意功耗太大了)。做了samba服务器。上传下载基本都在1M/s左右。路由器信号是一个问题,更大问题是Rpi自身总线就是瓶颈(更正:经过一番折腾发现我错了。不是别的,是路由器的问题。树莓派做NAS我这里速度最高可以达到11.5Mb/s接近百兆网口极限。)然而Rpi本身功耗小,不占地方(眼不见心不烦)的优势还是值得肯定的。所以我打算搞个BT下载,没事下下东西也不错。下载完电影还可以用电脑直接放。毕竟1M/s的速度看1080p基本够了的(已经飙起来了)

    2017-01-30:发现没必要要Transmission,因为有Aria2,不仅能下载BT,昨天已经写了一篇文章了。如果有兴趣也就看完吧!

    正文

    终端上去,然后安装

    [Read More…]

  • /var/log/2016.log — 2016日志

    于是,就这样,2016就过去了。实际上我也不知道我做了什么。

    “My age has never made me wise.”

    [Read More…]

  • 树莓派的sd卡读写速度问题简单测试

    虽然说……我一直用rpi2b+有1Ghz的速度和1G的ram但是性能依然捉急,时不时就卡卡卡。这个时候就怀疑是I/O问题了

    然后看看就发现我用的卡是4速的……当时都没注意sd卡读写速度。所以应该测试一下。SD卡是整个Rpi的硬盘。系统就在这里面。

    心急想看结果的朋友可以直接翻到最后,跳过这段,避免浪费查资料的时间

    [关于SD卡速度如果你没有注意过可以看看这里]

    [Read More…]

  • 污wuwuwu云知识库打包(转自Evil0x)

    链接:http://pan.baidu.com/s/1mitVWYO   密码:iilr

    安全起见丢在博客上,文件不大,7z就几个M

    我这里提供一个下载

    wooyun drops乌云知识库全部文章

  • RaspberryPi:我想流畅的看一个片

    曾经用3.5寸LCD在树莓派上用mplayer看,巨卡,星际争霸2的CG,简直一帧一帧看,把每一帧都能细细品味到,而且每一帧都是从上到下刷下来的,音画不同步。一开始以为全都是屏幕的问题(其实也有)因为我用openelec在电视上看1080p都十分的流畅,说明硬件肯定没问题。于是我过了几个月换了一个一百多的HDMI的5寸小屏。好的,然后

    [Read More…]