您好， []|
血的教训：手机安全使用注意事项
大粤数字生活 7月15日，日前根据空姐网官网微博的报道，23岁的南航空姐马爱伦在今年7月11日晚使用正品iPhone 5打电话时候被一股强烈的电流击倒，不幸身亡。尽管目前手机已经成为人们必不可缺的通信工具之一，但如何正确的使用手机？也许很多朋友还并不是十分清楚。今天整理了以下几条手机安全使用注意事项，仅供大家参考。手机尽量离身体远一点当人们使用手机时，手机会向发射基站传送无线电波，而无线电波或多或少地会被人体吸收，这些电波就是手机辐射。虽然目前并未有研究表明手机辐射是否对人类健康会产生影响，但是小编还是提醒大家多多注意为好。睡觉时手机别放枕头边许多手机用户在睡觉时都喜欢把手机放在枕头旁边，但是小编在这里并不建议大家这么去做。据专家介绍。手机辐射对人的头部危害较大，容易引起头痛、头昏、失眠、脱发等症状，相信不少用户都有这样的切身体验，那就是将手机放在枕头边睡觉往往会导致多梦的症状，严重影响睡眠质量。手机使用者尽量让手机远离腰、腹部有研究显示，老鼠被手机微波辐射5分钟，就会产生DNA病变，而同是哺乳动物的人类，其精、卵子长时间受到手机微波辐射，也有可能产生DNA病变。有匈牙利科学家发现，经常携带和使用手机的男性的精子数目可减少多达30%。因此为了您和您的后代，还是把手机放在包包里吧，你懂的。以上这些都是手机在日常使用中需要注意的地方。除此之外，我们在使用手机之时，往往还存在一些不好的习惯，有是甚至会威胁到我们个人的生命。边充电边打电话在智能手机横行的今天，边充电边打电话，已经成了大多数人们见怪不怪的事情。但是就是这样的行为，却隐藏这重大的安全隐患。有不少案例中的受害者就是手机充电时接听电话导致被强电流击穿致死，而笔者在部分论坛中也发现有部分网友反映手机，尤其是部分金属制外壳手机在充电时接听电话会有被电的感觉。应此小编在这里还是建议大家在充电时，尽量不要接听电话。为了自己的人生安全，请尽量拔掉充电线后再接听电话。连夜充电说句实话，连夜充电这事小编我自己也干过，但是自从听过一堂消防课之后，就再也不干这么干了。原因很简单，手机连夜充电，在手机在充电时，会产生过多的热量，虽然引发火灾的几率很小，但还请大家多多注意。充电插头不拔很多用户都有充电插头插在插座上不拔的习惯，但一旦充电器质量不过硬或是劣质产品的话，也很可能会产生短路，引发火灾等严重后果。手机发热继续打很多朋友在长时间打电话后会发现手机过热的情况，小编建议出现这种情况的时候，立即停止通话，让手机散热。一来手机过热辐射会相对增大，二来，网上也有部分网友反映手机过热爆炸是情况。因此，建议大家还是立即停止通话让手机尽快散热。使用杂牌大容量电池手机电池容量一直是一个难以突破的瓶颈，而目前市面上有部分号称高容量电池的出现，小编并不建议大家购买使用此类电池，第一，该类电池所标注的容量并不是实际容量。有很大程度上市虚标容量，第二，目前大容量电池安全性问题仍就在研究当中。而这些号称高容量的杂牌电池，和炸弹又有什么区别呢？可能部分网友看了以上的文章之后，会对使用手机产生一定的恐惧心理。但是就目前而言，以上的这些“恐怖言论”的发生概率极低，因此对于大家而言，只要在使用手机之时，多多注意。尽量不要去做上面提到的危险事件，做到健康安全的使用手机
(请登录发言，并遵守)
广东发布：
平安中山：
东莞时报：
广州日报：
大粤美食：
聊城事　|　
聊城事　|　
结婚啦　|　
妈宝团　|　
车友会　|　　
游天下　|　　
粤生活　|　　
逛港澳　|　　
丽人族　|　　
网友关注图片评论点击
Copyright & 1998 - 2011 Tencent. All Rights Reserved浅谈php安全性需要注意的几点事项
投稿：hebedich
字体：[ ] 类型：转载 时间：
这段时间一直在写一个整站，前几天才基本完成了，所以抽个时间写了一篇对于php安全的总结。技术含量不高，过不了也没关系，希望能一些准备写网站的朋友一点引导。
在放假之初，我抽时间看了《白帽子讲web安全》，吴翰清基本上把web安全中所有能够遇到的问题、解决思路归纳总结得很清晰，也是我这一次整体代码安全性的基石。
我希望能分如下几个方面来分享自己的经验
把握整站的结构，避免泄露站点敏感目录
在写代码之初，我也是像很多老源码一样，在根目录下放上index.php、register.php、login.php，用户点击注册页面，就跳转到。并没有太多的结构的思想，像这样的代码结构，最大的问题倒不是安全性问题，而是代码扩展与移植问题。
在写代码的过程中，我们常要对代码进行修改，这时候如果代码没有统一的一个入口点，我们可能要改很多地方。后来我读了一点emlog的代码，发现网站真正的前端代码都在模板目录里，而根目录下就只有入口点文件和配置文件。这才顿悟，对整个网站的结构进行了修改。
网站根目录下放上一个入口点文件，让它来对整个网站所有页面进行管理，这个时候注册页面变成了，任何页面只是act的一个参数，在得到这个参数后，再用一个switch来选择要包含的文件内容。在这个入口点文件中，还可以包含一些常量的定义，比如网站的绝对路径、网站的地址、数据库用户密码。以后我们在脚本的编写中，尽量使用绝对路径而不要使用相对路径（否则脚本如果改变位置，代码也要变），而这个绝对路径就来自入口点文件中的定义。
当然，在安全性上，一个入口点文件也能隐藏后台地址。像这样的地址不会暴露后台绝对路径，甚至可以经常更改，不用改变太多代码。一个入口点文件也可以验证访问者的身份，比如一个网站后台，不是管理员就不允许查看任何页面。在入口点文件中就可以验证身份，如果没有登录，就输出404页面。
有了入口点文件，我就把所有非入口点文件前面加上了这句话：
if(!defined('WWW_ROOT'))
header("HTTP/1.1 404 Not Found");
WWW_ROOT是我在入口点中定义的一个常量，如果用户是通过这个页面的绝对路径访问（），我就输出404错误；只有通过入口点访问（），才能执行后面的代码。
使用预编译语句，避免sql注入
注入是早前很大的一个问题，不过近些年因为大家比较重视这个问题，所以慢慢变得好了很多。
吴翰清在web白帽子里说的很好，其实很多漏洞，像sql注入或xss，都是将“数据”和“代码”没有区分开。“代码”是程序员写的内容，“数据”是用户可以改变的内容。如果我们写一个sql语句select * from admin where username='admin' password='xxxxx', admin和xxxxx就是数据，是用户输入的用户名和密码，但如果没有任何处理，用户输入的就可能是“代码”，比如'or ''='，这样就造成了漏洞。“代码”是绝对不能让用户接触的。
在php中，对于mysql数据库有两个模块，mysql和mysqli，mysqli的意思就是mysql improve。mysql的改进版，这个模块中就含有“预编译”这个概念。像上面那个sql语句，改一改：select * from admin where username='?' password='?'，它就不是一个sql语句了，但是可以通过mysqli的预编译功能先把他编译成stmt对象，在后期用户输入账号密码后，用stmt-&bind_param将用户输入的“数据”绑定到这两个问号的位置。这样，用户输入的内容就只能是“数据”，而不可能变成“代码”。
这两个问号限定了“数据”的位置，以及sql语句的结构。我们可以把我们所有的数据库操作都封装到一个类中，所有sql语句的执行都进行预编译。这样就完全避免了sql注入，这也是吴翰清最推荐的解决方案。
下面是使用mysqli的一些代码部分(所有的判断函数运行成功或失败的代码我都省略了，但不代表不重要)：
//用户输入的数据
$name = 'admin';
$pass = '123456';
//首先新建mysqli对象,构造函数参数中包含了数据库相关内容。
$conn = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME, DB_PORT);
//设置sql语句默认编码
$this-&mysqli-&set_charset("utf8");
//创建一个使用通配符的sql语句
$sql = 'SELECT user_id FROM admin WHERE username=? AND password=?;';
//编译该语句，得到一个stmt对象.
$stmt = $conn-&prepare($sql);
/********************之后的内容就能重复利用，不用再次编译*************************/
//用bind_param方法绑定数据
//大家可以看出来，因为我留了两个?，也就是要向其中绑定两个数据，所以第一个参数是绑定的数据的类型(s=string,i=integer)，第二个以后的参数是要绑定的数据
$stmt-&bind_param('ss', $name, $pass);
//调用bind_param方法绑定结果（如果只是检查该用户与密码是否存在，或只是一个DML语句的时候，不用绑定结果）
//这个结果就是我select到的字段，有几个就要绑定几个
$stmt-&bind_result($user_id);
//执行该语句
$stmt-&execute();
//得到结果
if($stmt-&fetch()){
echo '登陆成功';
//一定要注意释放结果资源，否则后面会出错
$stmt-&free_result();
return $user_ //返回刚才select到的内容
}else{echo '登录失败';}
预防XSS代码，如果不需要使用cookie就不使用
在我的网站中并没有使用cookie，更因为我对权限限制的很死，所以对于xss来说危险性比较小。
对于xss的防御，也是一个道理，处理好“代码”和“数据”的关系。当然，这里的代码指的就是javascript代码或html代码。用户能控制的内容，我们一定要使用htmlspecialchars等函数来处理用户输入的数据，并且在javascript中要谨慎把内容输出到页面中。
限制用户权限，预防CSRF
现在脚本漏洞比较火的就是越权行为，很多重要操作使用GET方式执行，或使用POST方式执行而没有核实执行者是否知情。
CSRF很多同学可能比较陌生，其实举一个小例子就行了：
A、B都是某论坛用户，该论坛允许用户“赞”某篇文章，用户点“赞”其实是访问了这个页面：。这个时候，B如果把这个URL发送给A，A在不知情的情况下打开了它，等于说给articleid=12的文章赞了一次。
所以该论坛换了种方式，通过POST方式来赞某篇文章。
&form action="http://localhost/?act=support" method="POST"&
&input type="hidden" value="12" name="articleid"&
&input type="submit" value="赞"&
可以看到一个隐藏的input框里含有该文章的ID，这样就不能通过一个URL让A点击了。但是B可以做一个“极具诱惑力”的页面，其中某个按钮就写成这样一个表单，来诱惑A点击。A一点击，依旧还是赞了这篇文章。
最后，该论坛只好把表单中增加了一个验证码。只有A输入验证码才能点赞。这样，彻底死了B的心。
但是，你见过哪个论坛点“赞”也要输入验证码？
所以吴翰清在白帽子里也推荐了最好的方式，就是在表单中加入一个随机字符串token（由php生成，并保存在SESSION中），如果用户提交的这个随机字符串和SESSION中保存的字符串一致，才能赞。
在B不知道A的随机字符串时，就不能越权操作了。
我在网站中也多次使用了TOKEN，不管是GET方式还是POST方式，通常就能抵御99%的CSRF估计了。
严格控制上传文件类型
上传漏洞是很致命的漏洞，只要存在任意文件上传漏洞，就能执行任意代码，拿到webshell。
我在上传这部分，写了一个php类，通过白名单验证，来控制用户上传恶意文件。在客户端，我通过javascript先验证了用户选择的文件的类型，但这只是善意地提醒用户，最终验证部分，还是在服务端。
白名单是必要的，你如果只允许上传图片，就设置成array('jpg','gif','png','bmp')，当用户上传来文件后，取它的文件名的后缀，用in_array验证是否在白名单中。
在上传文件数组中，会有一个MIME类型，告诉服务端上传的文件类型是什么，但是它是不可靠的，是可以被修改的。在很多存在上传漏洞的网站中，都是只验证了MIME类型，而没有取文件名的后缀验证，导致上传任意文件。
所以我们在类中完全可以忽略这个MIME类型，而只取文件名的后缀，如果在白名单中，才允许上传。
当然，服务器的解析漏洞也是很多上传漏洞的突破点，所以我们尽量把上传的文件重命名，以“日期时间+随机数+白名单中后缀”的方式对上传的文件进行重命名，避免因为解析漏洞而造成任意代码执行。
加密混淆javascript代码，提高攻击门槛
很多xss漏洞，都是黑客通过阅读javascript代码发现的，如果我们能把所有javascript代码混淆以及加密，让代码就算解密后也是混乱的（比如把所有变量名替换成其MD5 hash值），提高阅读的难度。
使用更高级的hash算法保存数据库中重要信息
在这个硬盘容量大增的时期，很多人拥有很大的彩虹表，再加上类似于cmd5这样的网站的大行其道，单纯的md5已经等同于无物，所以我们迫切的需要更高级的hash算法，来保存我们数据库中的密码。
所以后来出现了加salt的md5，比如discuz的密码就是加了salt。其实salt就是一个密码的“附加值”，比如A的密码是123456，而我们设置的salt是abc,这样保存到数据库的可能就是md5('123456abc')，增加了破解的难度。
但是黑客只要得知了该用户的salt也能跑md5跑出来。因为现在的计算机的计算速度已经非常快了，一秒可以计算10亿次md5值，弱一点的密码分把钟就能跑出来。
所以后来密码学上改进了hash，引进了一个概念：密钥延伸。说简单点就是增加计算hash的难度（比如把密码用md5()函数循环计算1000次），故意减慢计算hash所用的时间，以前一秒可以计算10亿次，改进后1秒只能计算100万次，速度慢了1000倍，这样，所需的时间也就增加了1000倍。
那么对于我们，怎么使用一个安全的hash计算方法？大家可以翻阅emlog的源码，可以在include目录里面找到一个HashPaaword.php的文件，其实这就是个类，emlog用它来计算密码的hash。
这个类有一个特点，每次计算出的hash值都不一样，所以黑客不能通过彩虹表等方式破解密码，只能用这个类中一个checkpassword方法来返回用户输入密码的正确性。而该函数又特意增加了计算hash的时间，所以黑客很难破解他们拿到的hash值。
在最新的php5.5中，这种hash算法成为了一个正式的函数，以后就能使用该函数来hash我们的密码了。
验证码安全性
这是我刚想到的一点，来补充一下。
验证码通常是由php脚本生成的随机字符串，通过GD库的处理，制作成图片。真正的验证码字符串保存在SESSION中，然后把生成的图片展示给用户。用户填写了验证码提交后，在服务端上SESSION中的验证码进行比对。
由此想到了我之前犯过的一个错误。验证码比对完成之后，不管是正确还是错误，我都没有清理SESSION。这样产生了一个问题，一旦一个用户第一次提交验证码成功，第二次以后不再访问生成验证码的脚本，这时候SESSION中的验证码并没有更新，也没有删除，导致验证码重复使用，起不到验证的作用。
再就说到了验证码被识别的问题，wordpress包括emlog的程序我经常会借鉴，但他们所使用的验证码我却不敢恭维。很多垃圾评论都是验证码被机器识别后产生的，所以我后来也使用了一个复杂一点的验证码，据说是w3c推荐使用的。
如果大家需要，可以到这里下载
好了，我能想到的，也是在实际运用中用到的东西也就这么多了。这也仅仅是我自己写代码中积累的一些对代码安全性的一个见解，如果大家还有更好的想法，可以和我交流。希望大家也能写出更安全的代码。
您可能感兴趣的文章:
大家感兴趣的内容
12345678910
最近更新的内容
常用在线小工具一日活动各环节安全注意事项
一日活动各环节安全注意事项
1、主班按时到岗，不闲谈嬉戏，保持良好形象。副班一在活动室门口迎接入园幼儿，副班二负责室内幼儿安全并组织游戏活动。
2、主班按要求和家长当面交接幼儿，以卡换人，切实注意不带孩子的人，要询问并阻止其进园和教学楼。
3、主班提醒家长检查幼儿所带物品，并亲自检查，切实防止将小刀、小玩具等较小物品带入班内。
4、副班一打水时注意避开幼儿活动高峰，出开水房时及时插上插销并挂锁，提水时注意和幼儿保持一定距离，暖水瓶在班内不存开水，防止烫伤幼儿。
5、主班做好晨午检工作，请假的不能划线，要注明病假或事假。病假的，在晨午检表反面另外登记。规定入园时间半小时后清点人数，作好人数清点和缺课追踪记录。
6、确需用药的，一定要在规定表格填写详细，让家长签字，日期要详细到某月某日某时某分。儿童用药要妥善保存，放在不能让任何幼儿拿到的地方。
1、迎园时间，副班一老师在活动室门口，负责如厕幼儿安全。
2、活动前后幼儿定期集中排队如厕，主班负责男生，副班负责女生。男女分厕，提醒幼儿便后洗手。
3、上课时间或户外活动时间，幼儿如厕副班一负责看护照顾。
三、上操前后
1、上操前提醒并帮助幼儿整理好服装，特别注意系好扣子和鞋带。
2、上下楼梯要组织幼儿排队，主班在前，副班一在后。楼东班级靠东面上下，楼西班级靠西面上下。教育幼儿不拥挤、不打闹，防止发生摔倒、踩踏事故。
3、检查活动场地是否安全。
4、要关注到所有孩子的安全，特别注意是否有孩子精神不振或恶作剧，提醒幼儿加强自我保护。
5、上操前后清点人数，做好记录，并与上次清点人数作比较，发现问题及时处理。
四、教学活动、区域活动
1、活动前后要清点人数，做好记录，并与上次清点人数作比较，发现问题及时处理。活动前同时做好缺课人员追踪记录，追踪表上要写上措施，如病了的要注明住院、打针、输液等；有事没来的注明电话联系或家长请假，上下午要分开写，写明白。
2、给幼儿提供安全、清洁的操作材料，教育幼儿不要将较小的操作材料等放入耳、鼻、口中。随时注意检查幼儿园所用物品，发现有锯齿状、带尖、带刺等物品要及时提醒并消除。
3、活动过程中注意稳定幼儿情绪，避免幼儿无秩序的情形。
4、教学活动如需使用剪刀，应先向幼儿提出使用剪刀的注意事项。
5、使用带尖头的铅笔或其他东西，要及时提出注意事项，防止戳伤自己或他人。
五、户外游戏活动或其他活动
1、及时提醒和帮助幼儿增减衣服。活动前后要清点人数，做好记录，并与上次清点人数作比较，发现问题及时处理。
2、开展活动前要检查、清理场地上的危险物品，检查活动器械、活动材料的安全情况。
3、组织活动要有序，讲清活动要求及注意事项，提醒幼儿在活动中遵守游戏、活动规则，不能放任幼儿四散奔跑。组织幼儿玩大型玩具时，主班和副班要成对角线站位，密切关注所有幼儿，及时纠正幼儿不正确的玩法。其他户外活动孩子自由活动时，教师要站在孩子活动群的外围。严禁教师聚在一起闲谈而忽视了幼儿安全现象的发生。
4、保证所有幼儿始终在教师的视线范围内。观察到情绪有异常的幼儿时，要及时询问并采取相应的措施。
5、活动结束主班要对大型玩具和活动场地进行检查，确保不遗留幼儿。副班一将活动材料放回原处。
1、离园前10分钟清点人数，做好记录。
2、逐一检查幼儿的衣服、鞋子是否整齐。
3、规范家长和幼儿排队，严格按照要求凭接送卡交接幼儿，做到既认卡又认人，主班教师要亲自将班级每一位幼儿交到家长手里，确保交接安全。对于忘带卡的一定要让家长等到本班大部分孩子离园后，再让孩子确认并经家长签字、主班老师签字后方可放走幼儿，时间注明上下午；代接的，必须与家长联系确认并经幼儿确认（问孩子这个人是谁）后方可领走，代接但没带卡的更要特别注意做好确认工作，同时落实好签字手续。
4、下班前关好门窗，关闭所有电源（消毒灯开关除外）。
七、交接班
1、主班老师对离园后未按时接走的幼儿，要留下家长的联系方式，与接班人认真做好交接。
2、接班教师一定要核准接收幼儿人数，严密注视幼儿，防止幼儿走失。
3、落实好签字手续，没有需要交接的，也要签字，在交接人数栏填上“
八、其他注意事项：
1、教师要有“防患于未然”的安全意识和高度的责任感，多观察，善发现，有隐患或问题能处理的要及时处理，自己不能处理的再上报。要随时关注所有孩子，随机进行安全教育。对问题要有预见性，如大风时关好门，进门、如厕和拐角处教育幼儿不跑不跳，防止撞伤等。
2、严禁体罚和变相体罚幼儿。要加强职业道德修养，关爱每一个孩子，尤其是特殊生。
3、严格交接手续，尤其是离园手续，凭卡交接，既认卡又认人。中途来接幼儿的，要让家长电话联系班主任或主班，确认后，由副班一送至大门口，按手续交接，主班要在人数清点中特别注明，时间精确到分钟，做到有据可查，严禁冒领现象发生。
4、要妥善处理与家长的关系。培养家长养成幼儿不到园请假的好习惯，密切关注特殊家庭孩子。
5、上班时间不做与工作无关的事情（如聊家常、上网闲聊等），不串岗，不会客，特殊情况来人访问一律到门岗，一般不能领进教学楼。
6、监护人长时间需要别人代接孩子的，要填写《代接代送委托书》，一份留园，一份班级保留。
7、班主任负责并严格补卡手续，严防出现一个孩子两个卡现象。
8、遵照幼儿园卫生和消毒制度，做好饮用水设备、玩具、各种物品的消毒卫生工作。
9、有意外发生时，主班教师和副班教师根据情况速作处理，报告园领导或送医院，班主任要根据情况及时通知幼儿家长。事后要有“事故调研和分析记录”。
已投稿到：空压岗位安全注意事项
作者：安全管理网　来源：安全管理网　点击：
　评论：　更新日期：日
&&&&&&&1.&进入本岗位，必须穿戴好劳动保护用具，将发辫纳入帽内，不许穿高跟鞋和带铁钉子的鞋。
&&&&&&& 2.&严禁跨越、擦试、检修正运转的机械电气设备，不准用湿布、水或沾有易燃液体的抹布擦试电气设备。
&&&&&&& 3.&非本岗位人员严禁启动，操作本岗位的设备。
&&&&&&& 4.&岗位悬挂的警示牌安全标志和消防用具不得随意移动。
&&&&&&& 5.&检修设备必须切断电源，挂&禁止起动&&禁止合闸&警示牌，未经批准，不得擅自送电。
&&&&&&& 6.&未经有关部门批准，非本岗位人员严禁进入操作机房。经批准进入机房人员必须履行登记手续。
&&&&&&& 7.&空压机房必须保持良好的通风，空气分析合格。
&&&&&&& 8.&严格将火种带入岗位，严禁吸烟。
&&&&&&& 9.&严格执行各项管理规章制度，岗位操作规程和安全注意事项。
&&&&&&& 10.&对于部分会产生高温之管路或元件在未确认完全冷却之前，严禁碰触，以防发生烫伤事故。
&&&&&&& 11.&压缩机各元件及管路均可能存有高压流体，拆装应先确认机组压力已完全排出，以免造成高压流体伤害。
&&&&&&& 12.&特别要注意不要让异物掉入机体内，以免损坏压缩机
Tag:.相关内容
化工安全热点内容
18531331876295412347923405209301779316177
化工安全推荐内容
07-2407-2107-2007-1907-1907-1907-1907-13
安全管理论坛新帖
论坛数据加载中...
　|　 　|　 　|　 　|　 　|　　|　 　|　　|　　|　　|　　
北京东方创想科技有限公司
服务热线：400-　　业务联系：010-
E-mail：& & & &
&& 京公网安备岗位操作安全注意事项_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
岗位操作安全注意事项
上传于||暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
你可能喜欢