小小工程師的日常筆記

htaccess 常用命令

Fri, 15 Jul 2016 09:00:17 +0000

本文翻譯自 : https://github.com/phanan/htaccess

原始翻譯： http://nitroxenon.com/htaccess-compilation

請確認你的 mod_rewrite 模組已經安裝

強制 WWW

RewriteEngine on
RewriteCond %{HTTP_HOST} ^example\.com [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301,NC]

強制泛型 WWW

RewriteCond %{HTTP_HOST} !^$
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTPS}s ^on(s)|
RewriteRule ^ http%1://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

強制不使用 WWW

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.example\.com [NC]
RewriteRule ^(.*)$ http://example.com/$1 [L,R=301]

強制 HTTPS

如果你的伺服器經過 TLS Proxy ，這個將會很實用

RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

強制 “/" 結尾

RewriteCond %{REQUEST_URI} /+[^\.]+$
RewriteRule ^(.+[^/])$ %{REQUEST_URI}/ [R=301,L]

單頁重新導向

Redirect 301 /oldpage.html http://www.yoursite.com/newpage.html
Redirect 301 /oldpage2.html http://www.yoursite.com/folder/

單一目錄別名 (Alias)

RewriteEngine On
RewriteRule ^source-directory/(.*) target-directory/$1

檔案別名 (Alias) (重新導向)

RewriteEngine On
RewriteRule ^$ index.fcgi/ [QSA,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.fcgi/$1 [QSA,L]

這個例子在幾個目錄裏面有一個 index.fcgi 檔案，如果改目錄有任何請求錯誤，將會重新導向到 index.fcgi 檔案。

重新導向整個網站

Redirect 301 / http://newsite.com/

使用效果 :

www.oldsite.com/some/path/page.html

會變成

www.newsite.com/some/path/page.html

如果你要網站搬家，這個功能十分實用

移除副檔名

RewriteEngine On
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteRule ^([^.]+)$ $1.php [NC,L]

使用效果 :

example.com/users.php

會變成

example.com/user

安全性

禁止訪問

Apache 2.2
Deny from all

Apache 2.4
Require all denied

請注意，使用後你將無法存取網站

禁止訪問 (除了你)

Apache 2.2
Order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx

Apache 2.4
Require all denied
Require ip xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx 是你的 IP，能使用 IP 範圍

禁止垃圾留言者訪問

Apache 2.2
Order deny,allow
Allow from all
Deny from xxx.xxx.xxx.xxx
Deny from xxx.xxx.xxx.xxy

Apache 2.4
Require all granted
Require not ip xxx.xxx.xxx.xxx
Require not ip xxx.xxx.xxx.xxy

禁止訪問隱藏目錄和檔案

RewriteCond %{SCRIPT_FILENAME} -d [OR]
RewriteCond %{SCRIPT_FILENAME} -f
RewriteRule "(^|/)\." - [F]

禁止訪問備份和原始碼目錄

    ## Apache 2.2
    Order allow,deny
    Deny from all
    Satisfy All

    ## Apache 2.4
    # Require all denied

禁止目錄瀏覽 (Index)

Options All -Indexes
Options All -Indexes

禁止圖片熱鏈

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

密碼保護目錄

首先，你需要新增一個 .htpasswd 檔案

htpasswd -c /home/fellowship/.htpasswd boromir

然後修改 .htaccess 檔案

AuthType Basic
AuthName "One does not simply"
AuthUserFile /home/fellowship/.htpasswd
Require valid-user
AuthType Basic
AuthName "One does not simply"
AuthUserFile /home/fellowship/.htpasswd
Require valid-user

密碼保護檔案

AuthName "One still does not simply"
AuthType Basic
AuthUserFile /home/fellowship/.htpasswd

Require valid-user

Require valid-user

效能

壓縮文字檔案

    # Force compression for mangled headers.
    # http://developer.yahoo.com/blogs/ydn/posts/2010/12/pushing-beyond-gzipping


            SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
            RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding



    # Compress all output labeled with one of the following MIME-types
    # (for Apache versions below 2.3.7, you don't need to enable `mod_filter`
    #  and can remove the `` and `` lines
    #  as `AddOutputFilterByType` is still in the core directives).

        AddOutputFilterByType DEFLATE application/atom+xml \
                                      application/javascript \
                                      application/json \
                                      application/rss+xml \
                                      application/vnd.ms-fontobject \
                                      application/x-font-ttf \
                                      application/x-web-app-manifest+json \
                                      application/xhtml+xml \
                                      application/xml \
                                      font/opentype \
                                      image/svg+xml \
                                      image/x-icon \
                                      text/css \
                                      text/html \
                                      text/plain \
                                      text/x-component \
                                      text/xml

設置頁面到期標頭

    ExpiresActive on
    ExpiresDefault                                      "access plus 1 month"

  # CSS
    ExpiresByType text/css                              "access plus 1 year"

  # Data interchange
    ExpiresByType application/json                      "access plus 0 seconds"
    ExpiresByType application/xml                       "access plus 0 seconds"
    ExpiresByType text/xml                              "access plus 0 seconds"

  # Favicon (cannot be renamed!)
    ExpiresByType image/x-icon                          "access plus 1 week"

  # HTML components (HTCs)
    ExpiresByType text/x-component                      "access plus 1 month"

  # HTML
    ExpiresByType text/html                             "access plus 0 seconds"

  # JavaScript
    ExpiresByType application/javascript                "access plus 1 year"

  # Manifest files
    ExpiresByType application/x-web-app-manifest+json   "access plus 0 seconds"
    ExpiresByType text/cache-manifest                   "access plus 0 seconds"

  # Media
    ExpiresByType audio/ogg                             "access plus 1 month"
    ExpiresByType image/gif                             "access plus 1 month"
    ExpiresByType image/jpeg                            "access plus 1 month"
    ExpiresByType image/png                             "access plus 1 month"
    ExpiresByType video/mp4                             "access plus 1 month"
    ExpiresByType video/ogg                             "access plus 1 month"
    ExpiresByType video/webm                            "access plus 1 month"

  # Web feeds
    ExpiresByType application/atom+xml                  "access plus 1 hour"
    ExpiresByType application/rss+xml                   "access plus 1 hour"

  # Web fonts
    ExpiresByType application/font-woff                 "access plus 1 month"
    ExpiresByType application/vnd.ms-fontobject         "access plus 1 month"
    ExpiresByType application/x-font-ttf                "access plus 1 month"
    ExpiresByType font/opentype                         "access plus 1 month"
    ExpiresByType image/svg+xml                         "access plus 1 month"

關閉 eTags (禁止認證緩存)

Header unset ETag

FileETag None

雜項

設置 PHP 變數

php_value

# For example:
php_value upload_max_filesize 50M
php_value max_execution_time 240

自定義錯誤頁面

ErrorDocument 500 "Houston, we have a problem."
ErrorDocument 401 http://error.yourdomain.com/mordor.html
ErrorDocument 404 /errors/halflife3.html

強制下載指定類型檔案

//強制下載 MARKDOWN 檔案

ForceType application/octet-stream
Header set Content-Disposition attachment

防止指定類型檔案下載

有時候你想在瀏覽器觀看檔案內容，但是瀏覽器強制下載，使用此方法可避免此問題。

Header set Content-Type text/plain

允許跨站字形檔案

        Header set Access-Control-Allow-Origin "*"

切換 PHP 版本

# Alternatively, you can use AddType

# Alternatively, you can use AddType

sql injection、XSS與網頁安全防護

Mon, 07 Mar 2016 02:59:07 +0000

寫網頁程式常常會碰到一些資安的問題，畢竟網頁是最容易遭受攻擊的服務之一

程式的素質往往也參差不齊，所以趁最近剛好有整理就記錄一下

==============XSS(跨網站指令碼)================

XSS主要是出現在一些輸入的資料，最終會在輸出在網頁上的情況下(留言板，布告欄，部落格等)

使用者輸入的內容因為會被輸出來，所以當內容中有可執行的程式碼(javascript)

就可以讓使用者去執行，常見的破壞方式有

1.導向其他帳號密碼登入的網頁騙取帳號密碼

2.javascript可以做的事情幾乎都有可能被插入(DDoS，alert)

防範方式很簡單，只要破壞程式碼的結構即可

PHP的話就是使用htmlspecialchars，perl則是使用encode_entities

將一些特殊字元做轉換


" "
' '
< <
> >
& &

例如  就會轉換成

瀏覽器在輸出的時候會自動轉換回去(可以看到)，但是看原始碼是被轉換過的編碼(不可被執行)

==============SQL Injection(SQL資料隱碼攻擊)================

SQL Injection也是出現很久的攻擊方式了，主要是網頁程式輸入的參數夾帶一些SQL的命令

例如原本判斷帳號密碼select username from user where user = '$user' and passwd = '$passwd'

當使用者輸入正常的帳號密碼時不會有問題，但是如果出現 '  "  /*等奇怪的字元

最簡單就(passwd = ' and '1' = '1    整行sql就變成

select username from user where user = '$user' and passwd = ' ' and '1' = '1')就有可能直接跳過登入

SQL除了用一些特殊字元去破壞SQL的架構以外，還有很多很特殊的用法

例如使用union，LOAD_FILE，CHAR編碼後組成字串、url encode.....

基本上如果要過濾這些特殊字元是過濾不完的，而因為SQL injection會發生最根本的原因

其實是SQL的命令與參數值混在一起，導致輸入的值可以偽裝成SQL的一部分，所以建議使用SQL的prepare方式

將SQL的命令與參數分開，已php為例，上面select username就可以改成以下程式碼


    $db = $connect = "mysql:host=$host;dbname=$dbname;charset=utf8";
    $db = new PDO($connect, $user, $passwd);
    $sql = "select username from user where user = ? and passwd = ?";  #SQL語法
    $sth = $db->prepare($sql);
    $result = $sth->execute(array($user,$passwd));              #參數值

基本上就可以完全阻絕被SQL Injection了。

==============CSRF(跨網站指令請求)================

這個弱點如何被利用比較複雜，但是起因很簡單，就是當A網頁傳送資料到B網頁進行處理時

B網頁沒有去檢查，這些資料是不是A網頁所傳送過來的，如果是從C網頁傳送過來時

當C被使用iframe等方式插在網頁D中，使用者在登入網站A與該被駭網頁D，同時就會執行C

就有可能造成使用者不知情的情況下，去執行了C網頁的程式碼

那要如何確保資料是從A到B呢？

簡單方式就是在A網頁產生一組亂碼，存到session與form中跟著其他參數post到B

B只要比對session的值與傳送過來的值是否相等即可。

現在常見的圖形鎖也是利用相同的方式，產生一組圖與答案，存到session後到B網頁進行比對

Perl的物件導向

Wed, 11 Mar 2015 09:03:19 +0000

perl從5.X版之後也支援OO，不過他不叫object，而是以模組的形式呈現

對於已經習慣java或C#的使用者而言，perl的module應該不大容易上手

下面這段就相當於java的class程式碼

#!/usr/bin/perl
package Mail;                         //物件名稱
use Mail::Sendmail;
sub new {
    my ($class,$mailServer,$user,$passwd,$smtpPort) = @_;         //建構子參數，$class代表本身，所以是從mailServer開始塞入參數
    my %mail = (
       Smtp => $mailServer,
       Port => $smtpPort,
       Auth => {user => $user, pass => $passwd, method => "LOGIN", required => 1}
    );
    my $self = {mail => \%mail};                   //要public的變數放在這邊，沒有放在這邊的參數就無法使用，hash的話%前面要加上反斜線
    bless $self, $class;
    return $self;
}

sub sendTo {                                             //物件的function
    my ($self,$receiver,$subject,$text) = @_;  //參數設定，$self表示自己本身，也就是Mail
    my $mail = $self->{mail};                       //要讀取本身的public變數用$self->{xxx}
}

將以上這段存成Mail.pm後與主程式放在同目錄，接下來是在程式中去create Mail object

#!/usr/bin/perl
use Mail;                        //使用剛剛寫的class
$mail = Mail->new('smtpserver','user','passwd','port');      //建構子建立一個mail物件
$mail->sendTo($receiver,$subject,$text);                       //mail物件的傳送信件function

php javascript判斷中文的方法

Tue, 10 Feb 2015 04:06:51 +0000

不管寫哪種程式，偶爾都會碰到要判斷是不是中文字

而基本上判斷的原理都是將文字轉成unicode

利用中文的unicode介於0x4E00~0x9FA5去做判斷

[Javascript]

function chineseCount(word)                     #計算中文字的數量
{
  return word.split(/[\u4e00-\u9a05]/).length -1;
}

[PHP]

function chineseCount($word)
{
       count( preg_split("/[\x{4e00}-\x{9a05}]/u",$word)
}

[Perl]

..........研究不出來，如果懂的人請寄信給我~__~

PS.以上都是在utf-8的編碼下，同時由於當初編碼的時候，繁體中文與簡體中文是混在一塊的

所以上面的方法會同時判斷繁簡中文，如果要分開印象中編碼的區段分成很多段

就要另外找一下編碼表了~~~