如何测试接口是否存在SQL注入的漏洞?Sqlmap使用记录
PHP没写好,就很容易出现SQL注入的BUG,老司机也难免有翻车的时候,我也不例外。 于是在网上搜索许久,找到一款非常实用的测试工具:Sqlmap Github:https://github.com/sqlmapproject/sqlmap Sqlmap是一个非常流行的开源工具,用于自动化SQL注入测试。它支持多种数据库管理系统,并提供了大量的选项来自定义测试过程。 Sqlmap基于Python开
Nginx日志分析工具GoAccess,有没有好用的Nginx日志分析工具?
官方地址: https://goaccess.io GoAccess 是一款开源的实时 Web 日志分析工具,支持Nginx等多种日志格式,支持分析并导出HTML 直接通过yum安装: # 安装依赖库 yum install -y GeoIP-devel ncurses-devel # 安装GoAccess yum install goaccess 修改配置文件,一般在/etc/goaccess
记录一次CDN被恶意刷流量,导致账户欠费停服的事件
大半夜被腾讯云的告警电话闹醒了,看了一下邮件,账户欠费停服。 收到邮件和电话提示欠费: 登录腾讯云一看,CDN扣费导致账户欠费5块多,上次买的200G流量包也用光了。 然后看了一下访问统计,人麻了,不知道哪个无聊的家伙恶意刷了100多G。 一张图片下载了20多万次,这又是何必呢..... 现在是每天固定7点左右都会刷,换着IP来,防不胜防哦 现在是直接把整个IP段屏蔽了,再继续观察 扫码充钱,问题
Linux Rsync命令的使用方法以及应用场景
Github:https://github.com/WayneD/rsync Rsync(Remote Sync)是一个用于文件同步和备份的开源工具。它可以在本地系统之间或本地系统与远程系统之间同步文件和目录。 在大多数常见的Linux发行版中,都没有默认安装rsync。 sudo apt-get install rsync sudo yum install rsync 一些常见的使用场景包括:
GoProxy使用记录,记录一些常见的用法
GoProxy是一款功能强大、性能高效、易于使用的代理服务器,适用于各种场景下的代理需求。 项目地址:https://github.com/snail007/goproxy 中文文档:https://github.com/snail007/goproxy/blob/master/README_ZH.md#%E6%89%8B%E5%8A%A8%E5%AE%89%E8%A3%85-goproxy 其它
Pc软件开发,aardio学习笔记
aardio 是一种易用性极强的动态语言,aardio官网:https://aardio.com/ 使用 namespace 关键字定义名字空间。如果一个不存在的变量首次被赋值(var语句声明的局部变量除外),则会自动加入到当前名字空间。 名字空间也可以省略语句块标记,表示名字空间作用域直至该代码文件结束。 名字空间其实也是一个普通的table对象。访问非当前名字空间的成员变量,可以加上有效的名字
Docker Dockerfile如何编写?Docker Composer该如何使用?
Dockerfile 是一个用来构建镜像的文本文件,文本内容包含了一条条构建镜像所需的指令和说明。 FROM,构建镜像基于哪个镜像 MAINTAINER,镜像维护者姓名或邮箱地址 RUN,构建镜像时运行的指令 CMD,运行容器时执行的shell环境 VOLUME,指定容器挂载点到宿主机自动生成的目录或其他容器 USER,为RUN、CMD、和 ENTRYPOINT 执行命令指定运行用户 WORKDI
《操作系统原理》学习笔记,多进程和多线程的优缺点?IPC进程间通信的方式?
每个处理器都有自己的指令系统(指令集),处理器的物理组成如下: 运算器:实现任何指令的算数和逻辑运算,是计算机计算的核心。 控制器:负责控制程序运行的流程,包括取指令,维护CPU的运行状态,CPU与内存的交互。 寄存器:是指令在CPU内部运算过程中存放数据、内存地址以及指令信息的存储设备,在计算机存储系统中具有最快的存储速度。 高速缓存:处于CPU和物理内存之间,用户多级存储结构,均衡CPU和内存
Linux screen命令的作用是什么?screen命令该如何使用?
参考文档:https://wangchujiang.com/linux-command/c/screen.html Screen 是一款由GNU计划开发的用于命令行终端切换的自由软件。用户可以通过该软件同时连接多个本地或远程的命令行会话,并在其间自由切换。GNU Screen可以看作是窗口管理器的命令行界面版本。它提供了统一的管理多个会话的界面和相应的功能。 只要Screen本身没有终止,在其内部
如何使用frp搭建内网穿透、TCP/UDP代理、http/https代理、Socks5代理?
官方文档:https://github.com/fatedier/frp/blob/dev/README_zh.md、https://gofrp.org/docs/setup/ frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。 frp 主要由 客户端(
如何通过PHP打包Git版本库中两个版本之间的差异文件?
PHP作为脚本语言,很多时候我们更新程序都只需要把修改过的文件重新上传覆盖一下就行。 通过Git Diff命令可以识别出所有被修改的文件,把这些文件的路径信息提交给PHP CLI脚本,然后由PHP进行压缩。 <?php /* * @author 爱心发电丶 * 打包git diff 之后的文件 * */ include_once __DIR__ . '/vendor/autoload.php
记录使用腾讯云CDN后产生的几个问题。
腾讯云 CDN 节点默认连接超时5s,接收超时10s。 简单的说明一下就是请求时间超过10s,不管有没有响应,这个连接都会被重置(中断响应)。 根据实际业务中遇到过的的问题,总结如下: 假设我有一个必须同步等待响应结果的请求,它的处理时间超过了10s,它在超过10s后会被cdn直接重置,客户端会提示请求失败,连接已被重置。 所以超过10s的请求,不能使用cdn。翻了一下文档,也没看到可以调整这个时
记录一次访问量瞬间增加,导致请求卡住的问题排查过程
2022.11.07号下班路上突然收到许多用户反馈,说小程序进不去了。然后自己试了一下,打开一直转圈,于是快马加鞭赶回家,打开了电脑。 文件收集小程序:帮助用户更加方便的收集各种类型的文件,同时上传之后的文件可以在线预览。 服务器为腾讯云2核4G6M的轻量云,同时还运行着其它的一些服务。 主要消耗的是上行带宽,下行主要消耗来自于文件在线预览,这部分通过内网反代理,由另外一台低配服务器负责。 打开电
记录一次服务器被CC攻击后的处理过程
2022年10月19日,晚上10点半,突然收到许多用户的反馈说小程序打不开了,打开一看果然,小程序一直处于转圈圈状态。 看了一下时间,10点32分,内心一句MMP:本来打算早睡,一看这架势,熬夜跑不了。 除了小程序之外,服务器上面还跑了很多其他的服务,虽然用户量不大,但是找起来也是要命。 首先告知发出反馈的用户 事件的原因,以及一个保证,并表示问题不大。 因为自己并没有收到腾讯云的安全监控提醒,所
如何使用acme.sh自动获取、更新Let’s Encrypt的SSL证书?
acme.sh实现了acme协议,可以从let's encrypt生成免费的ssl证书。本文主要记录使用dnspod api 自动申请ssl证书 站点HTTPS检测:https://myssl.com/ 打包下载仓库的代码(https://github.com/acmesh-official/acme.sh),上传到服务器(任意自己觉得合适的目录),命令行安装: cd 上传目录 # acmh.sh
Openresty、Lua学习笔记,从入门到精通,持续记录
OpenResty(也称为 ngx_openresty)是一个全功能的 Web 应用服务器。它打包了标准的 Nginx 核心,很多的常用的第三方模块,以及它们的大多数依赖项。 通过揉和众多设计良好的 Nginx 模块,OpenResty 有效地把 Nginx 服务器转变为一个强大的 Web 应用服务器,基于它开发人员可以使用 Lua 编程语言对 Nginx 核心以及现有的各种 Nginx C 模块
记录Docker使用过程中遇到的难点和问题
Docker 将应用程序与该程序的依赖,打包在一个文件里面。运行这个文件,就会生成一个虚拟容器。程序在这个虚拟容器里运行,就好像在真实的物理机上运行一样。有了 Docker,就不用担心环境问题。 被打包的程序可以是一个操作系统,也可以是Nginx应用,也可以是PHP等任意一种“程序”,打包之后的镜像可以在任意一台安装了Docker的主机上,完美的运行。 多个容器可以和不使用容器的应用一样,相互进行
Docker入门到精通,从安装开始,持续记录
Docker出来很久很久了,显而易见的很多公司、个人都在使用它,但是我一直没有用它.......大概率是我这水平好像用不上😂😂😂。平常Linux就是直接用lnmp安装脚本、window直接装phpstudy,对于PHP来说,也不算很麻烦。难得一个空闲的周末,总得跟随一下时代潮流.....冲........! 软件开发最大的麻烦事之一,就是环境配置。用户计算机的环境都不相同,你怎么知道自家的软件,能
Linux service、systemd的作用和用法是什么?
service 命令是Redhat Linux兼容的发行版中用来控制系统服务的实用工具,它以启动、停止、重新启动和关闭系统服务,还可以显示所有系统服务的当前状态。 服务(service)本质就是进程,但是是运行在后台的,通常都会监听某个端口,等待其他程序的请求,比如(mysql,sshd,防火墙等),因此我们又称为守护进程。 service运行指定服务(称之为System V初始脚本)时,把大部分
Nginx学习笔记,持续记录
使用过程中发现很多新问题,在这里记录一下; nginx events 模块主要是nginx 和用户交互网络连接优化的配置内容 accept_mutex,这个配置主要可以用来解决常说的"惊群"问题。大致意思是在某一个时刻,客户端发来一个请求连接,Nginx后台是以多进程的工作模式,也就是说有多个worker进程会被同时唤醒,但是最终只会有一个进程可以获取到连接,如果每次唤醒的进程数目太多,就会影响N
Linux创建逻辑卷,合并多块数据盘。
逻辑卷管理的技术可理解为,将单个或多个物理磁盘分区(PV物理卷)组成逻辑卷组(VG),再把卷组分成多个逻辑卷(LV),主要特点是,在不影响原来数据情况下可简易的扩充磁盘的大小(缩小硬盘空间可能会导至数据丢失)。 就是真正的物理硬盘或分区。 将多个物理卷合起来就组成了卷组,组成同一个卷组的物理卷可以是同一个硬盘的不同分区,也可以是不同硬盘上的不同分区。我们可以把卷组想象为一个逻辑硬盘。 卷组是一个逻
Windows操作系统安装经验总结
硬盘前面固定的存储空间存放引导程序。 开机 -> 启动引导程序-> 引导程序找到活动分区-> 启动引导管理器-> 读取BCD-> 显示引导项-> 开机 bcdedit /enum 固定的EFI分区存放引导程序、以及BCD。 开机 -> 找到EFI分区 -> 启动引导程序 -> 读取EFI分区的BCD -> 显示引导项 -> 开机。
PHP批量识别Nginx网站日志内的百度真假爬虫记录
通过分析网站日志可以统计出百度的真实抓取次数、分析抓取情况。 网站一般都有一定的反爬虫机制,但是为了正常收录会通过UA排除百度的爬虫,也就导致了很多做采集、爬虫的人冒充百度爬虫UA用以越过反爬虫机制。 逐条分析每一条日志,筛选出百度爬虫的日志,再通过exec函数执行nslookup命令反向解析IP获取解析的域名,域名中包括baiduspider关键词的就是真的百度爬虫。 下载PHP脚本(百度网盘)
linux常用命令、bash语法学习笔记,持续记录
linux命令存储以下位置: /bin(指向/usr/bin)目录,包含基本的用户命令,默认全体用户都可使用,例如curl,ls命令 /sbin(指向/usr/sbin),/usr/local/sbin,存放需要root权限的命令以及工具,默认root用户使用,例如ip,halt命令 /usr/local/bin 给用户放置自己的可执行程序的地方,不会被系统升级覆盖 /usr/local/sbin
Nginx使用经验总结,好记性不比烂笔头(键盘)
配置文件中以#开始的行,或者是前面有若干空格或者 TAB,然后再跟#的行,都被认为是注释 在 nginx.conf 中,包含若干配置项。每个配置项由配置指令和指令参数 2 个部分构成。指令参数也就是配置指令对应的配置值。 配置指令是一个字符串,可以用单引号或者双引号括起来,也可以不括。但是如果配置指令包含空格,一定要引起来。 指令的参数使用一个或者多个空格或者 TAB 字符与指令分开。指令的参
SEO优化经验总结,我怕忘记的一些东西
1. TDK很重要,每个页面只能有一个H1标签,选对了关键词SEO就已经成功了一半。 2. 百度关键词搜索虽然是分词的(也就是搜索一个次词的时候匹配结果不一定是连词,也可能是句子中的词组成的),但是连词比分词的友好性更强。 3. 文章里的关键词最好都带上内链。 4. 不带WWW的主域名和WWW的二级域名,作为同一个网站的时候可以在两个页面的标题上稍微处理一下(就是可以弄成不一样的),根据以往的经
