【威胁通告】php-fpm远程代码执行漏洞(CVE-2019-11043)
近日,国外安全研究员公布了一个存在于 php-fpm 中的漏洞(CVE-2019-11043),在某些特定Nginx 配置中,该漏洞可能会导致远程代码执行。
PHP session机制详解
最近发现了产品日志记录中,logout日志存在记录Username为空的现象。由于Username从session中获取,首先怀疑的是session过期导致,由此引发了以下对PHP session和浏览器session信息清除机制的研究。
Hack PHP mail additional_parameters
在CVE-2016-10033中,PHPMailer的RCE火了一把,最近这个RCE又被老外放到wordpress中利用了一波,然后国内也跟着炒了一波,其实背后的锅都得PHP自带的内联函数mail()来背。
php “== ” 操作符带来的安全问题
1 比较操作符
php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题。在松散比较的时候,php会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较。如下是php manual上的比较运算符表: