PHP程序安全策略(整理完全版)
操作系统安全策略
操作系统安全策略1.强化访问控制:-实施基于角色的访问控制,确保用户只能访问其所需的系统资源。
-禁用默认账户和不必要的服务,以减少攻击的目标。
-限制对系统管理员权限的分配,确保权限最小化原则。
2.密码策略:-强制实施强密码策略,要求用户使用复杂的密码,并定期强制更换密码。
-对于敏感账户和服务,实施双因素身份认证来增加安全性。
-限制对系统密码文件的访问权限,确保只有授权用户可以访问。
3.安全更新和补丁管理:-订阅操作系统厂商的安全公告,并及时应用操作系统的补丁和更新,以修复已知的漏洞。
-自动化补丁管理,确保操作系统和应用程序的持续安全。
4.防病毒和恶意软件防护:-安装并定期更新防病毒软件,以及其他恶意软件防护工具。
-配置实时扫描和自动病毒定义更新,以及定期全面系统扫描。
-实施应用程序白名单机制,仅允许执行经授权和信任的软件。
5.安全审计和监测:-启用安全审计日志和日志监控,以便检测和响应安全事件。
-收集、分析和存储安全日志,以便进行安全事件调查和追踪。
-实施实时威胁情报监测,及时了解当前的威胁情况,并采取相应的对策。
6.物理安全:-限制对服务器和网络设备的物理访问,确保只有授权人员可以接触设备。
-防止未经授权的设备连接到网络,并实施物理隔离措施,以防止未经授权访问。
7.数据保护:-加密敏感数据,以防止数据泄露和未经授权访问。
-实施数据备份和恢复计划,以确保数据有备份,并在需要时能够快速恢复。
-配置访问控制列表和文件权限,以限制对敏感数据的访问。
8.员工教育和培训:-提供安全意识培训,以教育员工有关网络安全和操作系统安全的最佳实践。
-规定员工必须将账户和密码保密,不与他人共享。
-强调员工对损害安全的行为负责,并确保他们知晓如何报告安全事件。
以上只是一个操作系统安全策略的示例,实际的操作系统安全策略应该根据组织的需求和特定的环境来设计和执行。
此外,定期的安全评估和漏洞扫描也是操作系统安全的重要组成部分,可以帮助及时发现并纠正潜在的安全漏洞。
php安全从细节做起
有 以下 两种 :
“ 目 录 ” “ 地 路 径 ” 将 “ 地 路 主 一 本 , 本 径 ” 向其 他 目录 。 指
() 除 原 默 认 安 装 的 Ie u 目 2删 nt b p
录。
何 其 多 , 以 一 定 要 把 微 软 的 补 丁 打 所 全。
Al us sn ad 提 交 变 量 进 数 据 lp tiivl , i
库时必须过滤, 必须 使 用 a dl h s0 d s e 进 s a 行 过 滤 , p 内 置 的 p E cp 0 滤 , 如 w w s e过 a
可 以 禁 止 指 定 目录 之 外 的文 件 操 作 , 还
能 有 效 地 消 除 本 地 文 件 或 者 是 远 程 文 件 被 ic d 0 函 数 的 调 用 攻 击 。 nl e 等 u
良好 的安 全 意 识 , 管 环 境 如 何 ,h 不 p p层
的安 全 要 有 忧 患 意 识 , 响 自 己 的 警 钟 , 敲 对 自己 负 责 , 他 人 负 责 。 对
客 , 到 注 入 , 到 跨 站 , 到 肉 鸡 ,等 想 想 想 等 , 大 群 的炫 耀 词 语 让 人 眩 晕 , 天 一 今 只 说 存 在 于 p p程 序 中 的 一 些 安 全 细 h 节 问题 。 早 前 拜 读 过 前 辈 的一 文 , 信 很 相
种 态度 , 节 不 会 因 为 细 而 不 造 成 危 害 , 细
最 后 , 议 大 家 选 择 一 款 实 用 的 建
防 火 墙 。 比 如 Newo kCE ro a o t rl Co p rt n i() 改 注 册 表 1修H KEY_
PHP网站安全策略的研究和设计
如图 1 所示 。
1 . 1 用 户层
从我们的角度 出发 , 用户机器 正在运 行一个 W e b浏 览器 。 我们需要知道 ,这台机器可能是不安全的 ,甚至有可能是一
系统分为三个部分 :用户层 、网络层 、系统层,各个层
用户
:
网络
;
我们的系绩
1 系统 安全性 总体设 计
在使用 I n t e r n e t的 过 程 中 , 提 供 安 全 的 事 务 处 理 就 是 这
图1 P HP网站 系统 安全 层 次 图
样 的 问题 :检查系统 中信 息的流动 ,确保每 一个信息点都是
安全的 ,如果要有效 的在 安全 方面付出正确的努力 ,需要在
总第 1 5卷 1 6 8期 2 0 1 3年 8月
大 众 科 技
Po p u l a r Sc i e n c e & Te c h n o l o g y
VO 1 . 1 5 No . 8 Au g u s t 2 01 3
P H P网 站 安 全策 略 的研 究和 设计
刘辉兰 李茂峰
( 1 . 广西大学计算机 与 电子信息 学院,广 西 南宁 5 3 0 0 0 4 ;
2 . 解放 军第 3 0 3医院 ,广西 南宁 5 3 0 0 2 1 )
【 摘 要 】分 别从 用户层、网络 层、 系统层对 P HP网站的 We b安全性进行研究 ,提 出了 P H P网站的安全 防范策略 。包括
次的事务处理 的细节各不相 同,W e b应用程 序与用户之间的 每 个事务都是 以用户使用浏览器经 由 I n t e r n e t向W e b 服务器
sha1prngphp关于php下AESSHA1PRNG算法的加密
sha1prngphp关于php下AESSHA1PRNG算法的加密AESSHA1PRNG是一种结合了AES(Advanced Encryption Standard,高级加密标准)和SHA1PRNG(Secure Hash Algorithm 1 Pseudo-Random Number Generator,安全哈希算法1伪随机数生成器)算法的加密方法。
本文将详细介绍AESSHA1PRNG算法的原理和使用方式。
一、AESSHA1PRNG算法原理AESSHA1PRNG算法将AES和SHA1PRNG两种算法结合在一起,既保证了数据的安全性,又提供了伪随机数生成的能力。
下面将分别介绍AES和SHA1PRNG算法的原理。
1.AES算法AES算法是一种对称加密算法,将明文按照特定的规则进行分组和多轮替代和置换运算,最终生成密文。
AES算法包含三种密钥长度,分别为128位、192位和256位。
密钥长度越长,加密强度越高,但加密速度也越慢。
加密的过程中,AES算法使用了四种基本运算:字节代替(SubBytes)、行移位(ShiftRows)、列混淆(MixColumns)和轮密钥加(AddRoundKey)。
2.SHA1PRNG算法SHA1PRNG算法是一种伪随机数生成器,它使用SHA1哈希函数将种子值和递增的序列号进行运算,生成伪随机数序列。
SHA1PRNG算法的核心就是SHA1哈希函数,它将任意长度的输入数据生成固定长度(160位)的输出,具有抗碰撞性和不可逆性。
3.AESSHA1PRNG算法AESSHA1PRNG算法首先使用SHA1PRNG算法生成密钥和初始化向量(IV),然后使用AES算法对明文或伪随机数序列进行加密。
加密的过程中,AESSHA1PRNG算法使用AES算法的密钥和IV进行加密运算,生成密文。
二、AESSHA1PRNG算法使用方式在PHP语言中,可以使用相关的加密函数库来实现AESSHA1PRNG算法。
fastadmin 密码策略
FastAdmin是一款基于ThinkPHP框架和Bootstrap的后台管理系统,它的密码策略是保障系统安全的重要组成部分。
在这篇文章中,我们将深入探讨FastAdmin的密码策略,包括密码复杂度要求、密码存储方式、密码重置机制等方面,以帮助读者更好地了解FastAdmin 系统的安全性。
一、密码复杂度要求FastAdmin要求用户设置的密码必须符合一定的复杂度要求,以确保密码的安全性。
具体来说,FastAdmin要求密码至少包含6个字符,且必须包含数字、字母和特殊字符中的至少两种。
这样的密码复杂度要求可以有效防止暴力破解和字典攻击,提高系统的安全性。
二、密码存储方式FastAdmin采用哈希算法对用户的密码进行加密存储,以确保密码的安全性。
具体来说,FastAdmin使用的是SHA256哈希算法,该算法可以将用户的密码转换成一串唯一的哈希值,并将哈希值存储在数据库中。
当用户登录时,系统会将用户输入的密码进行哈希运算,然后与数据库中的哈希值进行比对,如果一致,则登录成功。
由于哈希算法是不可逆的,即使攻击者获得了数据库的访问权限,也无法从哈希值中还原出用户的原始密码,从而保障了用户密码的安全性。
三、密码重置机制FastAdmin提供了密码重置机制,以帮助用户忘记密码时能够重新设置密码。
具体来说,当用户忘记密码时,可以通过注册时填写的邮箱或手机号码进行密码重置。
系统会向用户的邮箱或手机号码发送一封包含重置链接的邮件或短信,用户点击链接后,可以进入重置密码页面,输入新密码并提交即可完成密码重置。
为了确保重置链接的安全性,FastAdmin采用了随机生成的Token作为重置链接的参数,该Token具有唯一性和时效性,可以有效防止重置链接被恶意利用。
四、其他安全措施除了上述的密码策略外,FastAdmin还采取了其他的安全措施来保障系统的安全性。
例如,FastAdmin支持双因素认证,用户可以在登录时输入手机验证码或U盾动态口令等额外的验证方式,提高账户的安全性。
服务器安全策略
服务器安全策略在当今数字化的世界中,服务器作为数据存储和业务运行的核心,其安全性至关重要。
任何安全策略的疏忽都可能导致数据泄露、业务中断或更严重的后果。
因此,制定和实施有效的服务器安全策略是每个组织都必须面对的挑战。
一、强化服务器物理安全确保服务器的物理安全是服务器安全策略的重要部分。
这包括将服务器存放在安全的环境中,例如有监控和门禁系统的数据中心。
应定期进行安全审计,以确保没有物理访问服务器的漏洞。
二、强化服务器软件安全服务器软件是另一道关键防线。
确保操作系统、数据库和其他软件的更新都及时应用,以防止已知的漏洞被利用。
使用最新的安全补丁和更新也能降低软件被攻击的风险。
三、访问控制和身份验证实施严格的访问控制和身份验证机制是保护服务器安全的基石。
这包括使用强密码策略,如要求定期更换密码,使用复杂且独特的密码。
另外,使用多因素身份验证可以进一步提高安全性。
四、数据加密对于存储在服务器上的敏感数据,应使用加密技术进行保护。
这样即使服务器被攻击,攻击者也无法轻易读取或篡改数据。
五、安全审计和监控实施安全审计和监控可以帮助及时发现并应对安全威胁。
这包括监控网络流量,以识别异常行为;审计系统日志,以查找可能的攻击;以及定期进行安全审计,以检查安全策略的有效性。
六、灾难恢复计划即使最严密的服务器安全策略也有可能会被突破。
因此,制定灾难恢复计划是必要的。
这包括定期备份数据,制定在安全事件发生时的应对策略,以及如何在最坏的情况下恢复服务。
总结:制定和实施有效的服务器安全策略是一个持续的过程,需要随着业务环境和安全威胁的变化而进行调整。
强化服务器物理安全,确保软件安全,实施严格的访问控制和身份验证,使用数据加密技术,进行安全审计和监控,以及制定灾难恢复计划都是构建安全的服务器环境的重要步骤。
在这个数字化的时代,保护数据和业务不受安全威胁的影响是每个组织都必须重视的任务。
通过采取以上策略,组织可以大大降低服务器遭受攻击的风险,确保数据和业务的安全。
应用系统安全策略
应用系统安全策略应用系统安全策略是组织对应用系统的安全性进行保护的一系列方针、程序和措施。
应用系统安全策略的目的是保护应用系统中的数据、功能以及其他敏感信息免受非法访问、破坏和泄露的威胁。
下面将介绍一些常见的应用系统安全策略。
1.访问控制访问控制是应用系统安全的基础。
通过合理的访问控制策略,可以确保只有授权的用户可以访问系统中的资源。
这包括用户认证、权限管理、账户控制等措施,以确保只有授权的用户可以执行特定的操作,并限制用户对系统资源的访问权限。
2.数据加密对敏感的数据进行加密可以有效保护数据在传输和存储中的安全性。
加密技术可以防止未经授权的人员在数据传输过程中截取或篡改数据。
在应用系统中,可以使用对称加密算法和非对称加密算法对数据进行加密处理。
3.强化认证机制强化认证机制是防止未经授权的用户访问系统的重要措施。
采用多因素认证可以提高认证的安全性,如使用指纹、密码和虹膜识别等多种认证方式。
此外,定期更换和更新密码也是一种有效的安全措施。
4.系统审计与监控建立健全的系统审计和监控机制可以及时发现和响应系统的安全事件和威胁。
通过实时监控系统日志和异常行为,可以及时发现入侵和滥用,从而采取相应的措施进行防御。
5.应用安全测试应用安全测试是保证应用系统安全的重要手段之一、通过对应用系统进行漏洞扫描、渗透测试等安全测试,可以发现并修补系统潜在的漏洞,提高系统的安全性。
这可以通过内部安全团队或第三方安全机构进行。
6.更新和维护及时更新和维护应用系统也是确保系统安全的重要措施。
软件和硬件供应商通常会提供安全补丁和更新,以修复已知的漏洞和改进系统的安全性。
同时,及时维护系统和确保系统补丁的安装也是必要的。
7.教育与培训教育和培训用户正确使用应用系统以及安全意识的培养是相当重要的。
合理的内部培训可以让员工了解系统安全策略和操作规范,提高他们对信息安全的重视程度,避免因用户的错误行为导致安全事件的发生。
综上所述,应用系统安全策略应该是一个全面的体系,包括访问控制、数据加密、强化认证机制、系统审计与监控、应用安全测试、更新和维护以及教育与培训等方面的措施。
服务器安全策略
服务器安全策略第一点:服务器安全策略的重要性服务器作为企业或个人数据存储和业务运行的核心,其安全性至关重要。
一个完整的服务器安全策略不仅能保护数据免受外部攻击,还能防范内部威胁,确保业务的持续稳定运行。
1.1 防御外部攻击服务器经常面临各种外部攻击,如DDoS攻击、SQL注入、跨站脚本攻击等。
制定有效的安全策略可以提前预防和应对这些攻击。
例如,通过定期更新和修补系统漏洞,使用防火墙和入侵检测系统来监控和阻止恶意流量,以及部署病毒防护软件来防止恶意软件的感染。
1.2 防范内部威胁内部威胁同样不容忽视,可能来自不当行为的员工或有意图的攻击者。
为了防范内部威胁,服务器安全策略应包括对员工进行安全意识培训,严格控制权限分配,实施最小权限原则,定期审计访问日志,确保及时发现异常行为。
1.3 数据保护数据是服务器的灵魂,因此数据保护是安全策略的重要组成部分。
这包括定期备份数据,确保数据在遭受攻击时能够迅速恢复;对敏感数据进行加密,防止数据泄露或被未授权访问;以及实施数据访问控制,确保只有授权用户才能访问特定数据。
1.4 合规性和法规遵守根据企业所在地的法律法规,服务器安全策略还必须符合特定的安全标准和要求。
例如,某些行业可能要求对患者信息进行特殊保护,而其他行业则可能有关于金融交易数据的规定。
合规性的考虑是确保企业不会因违反法律法规而遭受法律诉讼或罚款。
第二点:实施服务器安全策略的最佳实践为了确保服务器安全策略的有效实施,需要遵循一系列最佳实践,这些实践涵盖了从硬件选择到日常运维的各个方面。
2.1 硬件和基础设施安全服务器的硬件选择直接关系到其安全性能。
使用高安全性能的硬件,例如具有硬件安全模块(HSM)的服务器,可以增强数据保护能力。
此外,物理安全也非常重要,应确保服务器托管环境符合安全标准,如实施严格的出入控制、视频监控和环境安全措施。
2.2 系统配置和加固服务器的安全性在很大程度上取决于其操作系统和应用程序的配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PHP程序安全策略PHP是一种功能强大的语言和解释器,无论是作为模块方式包含到web服务器里安装的还是作为单独的CGI程序程序安装的,都能访问文件、执行命令或者在服务器上打开链接。
而这些特性都使得PHP运行时带来安全问题。
虽然PHP是特意设计成一种比用Perl或C语言所编写的CGI程序要安全的语言,但正确使用编译时和运行中的一些配置选项以及恰当的应用编码将会保证其运行的安全性。
一、PHP的编译安全。
在编译PHP之前,首先确保操作系统的版本是最新的,必要的补丁程序必须安装过。
另外使用编译的PHP也应当是最新的版本,关于PHP的安全漏洞也常有发现,请使用最新版本,如果已经安装过PHP请升级为最新版本。
安装编译PHP过程中要注意的3个问题:1、只容许CGI文件从特定的目录下执行:首先把处理CGI脚本的默认句柄删除,然后在要执行CGI脚本的目录在http.conf 文件中加入ScriptAlias指令。
#Addhadler cgi-script .cgiScriptAlias /cgi-bin/ "/usr/local/apache/cgi-bin/"<Directory "/usr/local/apache/cgi-bin'>AllowOverride NoneOptions NoneOrder allow,denyAllow from all</Directory><Directory "/home/*/public_html/cgi-bin">AllowOverride NoneOptions ExecCGIOrder allow,denyAllow from all</Directory>SriptAlias的第一个参数指明在Web中的可用相对路径,第二个参数指明脚本放在服务器的目录。
应该对每个目录别名都用Directory,这样可使得除系统管理员之外的人不知道Web服务器上CGI脚本的清单。
Directory允许用户创建自己的CGI脚本。
也可用SriptAliasMatch,但Directory更容易使用。
允许用户创建自己CGI脚本可能会导致安全问题,你可能不希望用户创建自己的CGI。
Apache默认配置是注释掉cgi—script的处理句柄,但有/cgi-bin目录使用SriptAlias和Directory指令。
你也可禁止CGI执行,但仍允许执行PHP脚本。
2.把PHP解析器放在web目录外把PHP解析器放在Web目录树外是非常重要的做法。
这样可以防止web服务器对PHP 的解析器的滥用。
特别是不要把PHP解析器放在cgi-bin或允许执行CGI程序的目录下。
然而,使用Action解析脚本是不可能的,因为用Action指令时,PHP解析器大多数要放在能够执行CGI的目录下只有当PHP脚本作为CGI程序执行时,才能把PHP解析器放在Web目录树之外。
如果希望PHP脚本作为CGI程序执行(这们可以把PHP解析器放在Web目录树之外),可以这样:( 1)所有的PHP脚本必须位于能执行CGI程序的目录里。
( 2)脚本必须是可执行的(仅在UNIX/Linux机器里)。
(3)脚本必须在文件头包括PHP解析器的路径。
你可用下面命令使PHP脚本为可执行:#chmod +x test.php4这样使在当前目录下的文件名为test.PhP4的脚本变为可执行。
下面是一个能作为CGI 程序运行的PHP脚的小例子。
#!/usr/local/bin/phpecho "This is a my small cgi program”3. 按Apache模块方式安装:当将PHP作为Apache模块使用时,它将继承Apche的用户权限(一般情况下用户为“nobody”)。
这一点对于安全性和验证有不少影响。
例如,使用PHP访问数据库,除非数据库支持内建的访问控制,将不得不设置数据库对于用户“nobody”的可访问权限。
这将意味着恶意的脚本在没有访问用户名和密码,也能访问并修改数据库。
通过Apache验证来保护数据不被暴露,或者也可使用LDAP、.htaccess文件等设计自己的访问控制模型,并在PHP脚本中将此代码作为其中部分引入。
通常,一旦安全性建立,此处PHP用户(此情形即Apache用户)就风险大大降低了,会发现PHP护现在已被封禁了将可能的染毒文件写入用户目录的能力。
此处最常犯的安全性错误是赋予Apache服务器根(root)权限。
将Apache用户权限提升到根权限是极端危险的。
可能会危及整个系统,因此要小心使用sudo,chroot 安全隐患大的命令等。
除非你对安全有绝对的掌握,否则不要让其以ROOT权限运行。
二、PHP的使用安全。
1、以安全模式运行PHP以安全模式运行PHP是使PHP脚本安全使用的好方法,特别是在允许用户使用自己开发的PHP脚本时。
使用安全模式会使PHP在运行函数时检查是否存在安全问题。
include、readfile、fopen、file、unlink、rmdir等等:被包含的文件或者该文件所在目录的所有者必须是正在运行的脚本的所有者;Exec、System、Passthm等等:要执行的程序必须位于特定的目录(默认为/usr/local/php/bin)。
编译PHP时可以用—with-exe-dir选项设定这个值。
Mysql—Connect:这个函数用可选的用户名连接MySQL数据库。
在安全模式下,用户名必须是当前被执行的脚本的所有者,或运行httpd的用户名(通常是nobody)。
HTTP Authentication:包含HTTP验证代码脚本所有者的用户ID(数字型)会自动加到验证域。
这样可以防止有人通过抓取密码的程序来欺骗同一个服务器上的HTTP验证脚本。
2、使用用户识别和验证有时需要唯一地确认一个用户。
用户通常由请求和响应系统确认。
用户名/口令组合就是这种系统的一个很好的例子,比如系统要求给出A1i的口令,响应的是Ali的口令。
这样验证是因为只有Ali才知道这个口令。
(1)服务器端用户验征这是用于服务端上对PHP程序要求最小的验证方法。
只要让Apache来管理对用户的验证就行了。
AuthName "Secret page" # The realmAuthType Basic# The password file has been placed outside the web treeAuthUserFile /home/car2002/website.pw<LIMIT GET POST>require valid-user</LIMIT>你需要把上述文件(文件名为.htaccess)放在需要保护的地方。
用Apache的htpasswd程序,可以建立包含用户名和口令组合的文件。
把这个文件放在Web目录树之外,只让该文件的拥有者查看和修改这个文件。
当然,Web服务器必须能够读取这个文件。
如果想读取被保护的目录,Web服务器要求浏览器提供用户名和密码。
浏览器弹出对话框,用户可以输入他们的用户名和密码。
如果用户名和密码与口令文件中相符合,就允许用户读取被保护的页面;反之,将得到错误页面,告诉用户没有通过验证。
被保护的域会显示出来以便用户知道输入那个用户名和密码。
(2)在PHP中进行用户识别和验证和在Apache服务器端进行用户识别和验证相比,在PHP进行用户识别和验证有以下优点:A、可注销。
B、可失效。
如用户登录后40分钟没有浏览你的网站,你可强制他们重新通过验证。
C、可定制。
D、可基于数据库。
你可以用保存在各种各样的数据库里的数据来验证用户,并且记录访问者访问网站的详细日志。
E、可用于每个页面。
你可在每个页面上决定是否需要验证。
F、你也可以使浏览器弹出对话框。
下面的例子显示了怎样从,MySQL数据库中检索用名和口令:让用户填人用户名和口令。
<?if(!isset($PHP_AUTH_USER)) {Header("WWW-authenticate: basic realm=\"restricted area\"");Header( "HTTP/I.0 401 Unauthorized");echo "You failed to provide the correct password...\n";exit;} else {mysql_select_db("users") ;$user_id = strtolower($PHP^AUTH_USER);$result = mysql_query("SELECT password FROM users " ."WHERE username = '$username'") ;$row = mysql_fetch_array($result) ;if ($PHP_AUTH_PW != $row["password"]) {Header( "WWW-authenticate: basic realm=\"restricted area\"Header( "HTTP/I.0 401 Unauthorized");echo "You failed to provide the correct password...\n" ;exit;}}?>(3) 检测IP地址一般人们普遍认为一个IP地址唯一地确定一个访问者。
但实际上并不是这样的。
代理服务器可用相同的IP地址发送不同用户的请求。
另外IP地址的盗用也普遍存在。
检测IP 地址有它们的用处,但相当有限。
例如你是一个论坛版主,你发现某个用户粘贴一些不健康的、违法的内容。
你可以找到他的IP地址,把从这个IP连进来的用户逐出论坛。
使用下面一行命令将会得到某个特定请求的源IP地址:# ip = $REMOTE_ADDR(4)、使用PHP加密技术在PHP中,加密技术主要用来加密信息、产生校验和和摘要。
使用加密技术可大大地增强安全性能。
PHP中大多数的加密函数由mcrypt库和mhash库提供。
你需要在系统中装上这两个库,在编译时加上--ith-mcrypt和--ith-hash选项。
PHP从3.013版本开始支持mcrypt 库。
(5)、使用具有SSL技术SSI是英文Server Side Includes的缩写。