There is a vulnerability in certain CGI-based setups (Apache+mod_php and nginx+php-fpm are not affected) that has gone unnoticed for at least 8 years. Section 7 of the CGI spec states:

Some systems support a method for supplying a [sic] array of strings to the CGI script. This is only used in the case of an `indexed’ query. This is identified by a “GET” or “HEAD” HTTP request with a URL search string not containing any unencoded “=” characters.
So, requests that do not have a “=” in the query string are treated differently from those who do in some CGI implementations. For PHP this means that a request containing ?-s may dump the PHP source code for the page, but a request that has ?-s&=1 is fine.

A large number of sites run PHP as either an Apache module through mod_php or using php-fpm under nginx. Neither of these setups are vulnerable to this. Straight shebang-style CGI also does not appear to be vulnerable.

If you are using Apache mod_cgi to run PHP you may be vulnerable. To see if you are, just add ?-s to the end of any of your URLs. If you see your source code, you are vulnerable. If your site renders normally, you are not.

To fix this, update to PHP 5.3.12 or PHP 5.4.2.

We recognize that since CGI is a rather outdated way to run PHP, it may not be feasible to upgrade these sites to a modern version of PHP. An alternative is to configure your web server to not let these types of requests with query strings starting with a “-” and not containing a “=” through. Adding a rule like this should not break any sites. For Apache using mod_rewrite it would look like this:

links: http://www.php.net/archive/2012.php#id2012-05-03-1
主要修复了一个长达8年的CGI漏洞，貌似对IIS没有影响，官方仅仅说了对Apache和Nignx有影响。

转载至:http://www.deepseo.org/deepseo544.html

最全各大搜索引擎服务提供商的网站收录地址、百度谷歌新闻源收录提交地址、博客搜索引擎RSS提交收录地址、搜索引擎投诉网址大全
百度网站收录提交 http://www.baidu.com/search/url_submit.html
百度新闻源收录提交 http://tousu.baidu.com/news/add/
百度博客(RSS)收录提交 http://utility.baidu.com/blogsearch/submit.php
百度站长平台（目前未对外开放） http://sitemap.baidu.com/
百度搜索开放平台 http://open.baidu.com/
百度恶意、负面信息投诉 http://tousu.baidu.com/
百度贴吧恶意攻击投诉 http://tieba.baidu.com/tousu/new/add#
百度关键词搜索风云榜 http://top.baidu.com/
百度关键词指数查询 http://index.baidu.com/
百度统计平台(开放精确收录查询) http://tongji.baidu.com/
谷歌网站收录提交 http://www.google.com/intl/zh-CN/add_url.html
谷歌新闻源收录提交 http://www.google.com/support/news_pub/bin/request.py?contact_type=suggest_content&hl=cn
谷歌博客(RSS)收录提交 http://blogsearch.google.com/ping?hl=zh-CN
谷歌网站管理员工具 http://www.google.com.hk/intl/zh-CN/webmasters/
搜狗网站收录提交 http://www.sogou.com/feedback/urlfeedback.php
搜狗博客(RSS)收录提交 http://www.sogou.com/feedback/blogfeedback.php
搜狗投诉举报负面删除 http://www.sogou.com/complain/complaint.php
搜狗关键词热搜榜 http://top.sogou.com/
SOSO网站收录提交 http://www.soso.com/help/usb/urlsubmit.shtml
SOSO网站地图提交 http://open.soso.com/sitemap/
SOSO新闻源收录提交 http://news.soso.com/newsjoin.html
SOSO博客(RSS)收录提交 http://blog.soso.com/join.html
SOSO关键词搜索热榜 http://i.soso.com/rebang/
SOSO关键词指数查询 http://index.soso.com/
有道网站收录提交 http://tellbot.yodao.com/report?type=web
有道博客(RSS)收录提交 http://tellbot.yodao.com/report?type=BLOG
微软bing网站收录提交 http://cn.bing.com/docs/submit.aspx
微软bing站长工具 http://cn.bing.com/toolbox/webmasters/
淘宝商品店铺排行榜（淘宝必备） http://top.taobao.com/index.php
雅虎中国网站收录提交 http://search.help.cn.yahoo.com/h4_4.html
雅虎中国博客收录提交 http://www.yahoo.cn/ex/blog_rss/rss_input.php
雅虎网站站长管理员工具 http://sitemap.cn.yahoo.com/
新浪爱问新闻源收录提交 http://www.iask.com/guest/add_news_url.php
新浪爱问博客收录提交 http://blog.iask.com/add_new_rss.php
新浪爱问博客Ping更新 http://blog.iask.com/ping.php
Dmoz网站登录入口 http://www.dmoz.com/World/Chinese_Simplified
Alexa网站登录入口 http://www.alexa.com/help/webmasters

———————————————————————-
搜索引擎联盟申请：

百度联盟申请地址：http://union.baidu.com/register.action

Google adsense:https://www.google.com/adsense/g-app-single-1?hl=zh-CN

———————————————————————-
网站管理员工具（搜索引擎）：

Google网站管理员工具：http://www.google.com/webmasters/

微软Bing管理员工具地址：http://www.bing.com/toolbox/webmaster/

百度站长平台：http://zhanzhang.baidu.com/

———————————————————————-
向搜索引擎递交sitemap（网站地图）：

腾讯搜搜：http://open.soso.com/sitemap/ 搜搜开放平台提供了提交sitemap的功能。

百度：http://sitemap.baidu.com/ 百度站长平台，期待很久了，可惜一直在内测中。暂时无法提交。

雅虎中国：http://sitemap.cn.yahoo.com/ 雅虎中国的站长工具很早就提供了提交sitemap的功能，还支持rss。

Google：https://www.google.com/webmasters/tools/ 可谓最强大的网站管理员工具，提交sitemap当然是最基本的。

Yandex：http://webmaster.yandex.com/ Yandex是俄罗斯最大的搜索引擎，相对于俄罗斯的百度。管理员工具提供了类似Google Webmaster的功能，非常强大。

Bing：http://www.bing.com/toolbox/webmaster/ 微软的强力产品，在美国市场占有一定搜索份额。管理员工具功能也很强大。

Yahoo!：https://siteexplorer.search.yahoo.com/ 雅虎英文站，因为同微软的bing合作关系，提交sitemap后提示已经提交给了微软。

Ask：http://submissions.ask.com/ping?sitemap=http://www.YourWebSite.com/sitemap.xml 修改红色部分的url为自己的sitemap地址，直接在浏览器提交。

最后，在robots.txt文件中添加sitemap，搜索引擎抓取robots.txt的时候就可以获取sitemap。方法非常简单，只要在robots.txt的第一行或者最后一行按以下格式加入sitemap地址即可。Sitemap: http://www.YourWebSite.org/sitemap.xml

Uploadify 官方已经升级到3.1正式版了。在jquery 上传插件中，uploadify算得上是优秀的插件了。 Uploadify现在提供3种上传插件下载，一种是标准版，利用Flash作为中间通讯，一种是支持html5的上传, 最后一种是商业版。其中后面2者，由于需要支付，我们就不谈他了。作为html5的上传插件，还有更多开源免费的，相关请查www.oschina.net。 题外话，这个HTML5的东西，最基本的特色无非就是可以支持拖拽drag而已，说实在，根本不值得作者卖钱，本身别人浏览器chrome,firefox都支持。

标准版3.1，跟旧版2的接口不一样。所以如果想要从v2过渡到v3上来，是根本不能平滑过渡的。看了v3的dev源文件，大体上分析，v3.1是将尽可能能自定义参数或者方法都封装了，值得注意的是，这些参数或者方法的命名比v2更加规范更加容易懂，没有像v2那样混杂了。

结论，暂不推荐大家立刻将v3.1投入到正式web环境中，请等待，因为v2的到现在的一个致命的bug都没有修复，本人还没有测试3.1这个bug. 此bug， uploadify对IE8的兼容性不好，这个其实这个bug可以GG搜索 “uploadify ie8 issue”，太多人反馈了，有人直接回帖，give up放弃uploadify，确实比较恼火。当然我已经有比较好的解决方案，如果有需求，我会在BLOG里写出方案，仅仅一行代码搞定。我抽时间在测试3.1有没有此bug。

2、由于win8 PC的“照片”应用(系统默认用此应用打开所有图片)，非常垃圾，不适合PC作业。固请先卸载此应用。

3、安装看图软件XnView，切忌不要用最新版（v1.98.8），此版本在关联的时候有问题。我用的是v1.97.8. 在安装XnView前，

4、由于我系统是由XP格式化后再装Windows8（系统盘C盘）， 很多绿色软件在F盘，可以免装一些软件。但是发现快捷方式出问题，进入默认路径是C盘。不可能一个一个的去改吧？OK，网上搜索到一个VBS脚本，批量更改同目录下的快捷方式。运行脚本时你会发现win8不支持vbs，因为系统没有加载vbs引擎，所以我还必须使用vbs脚本前，安装引擎。我打包给大家下载了。解压把WSH.ini放入C:\Windows\Inf\中，右键WSH.ini点安装。OK，可以执行vbs了。

关键新功能:
1、traits, 面向对象中提高代码重用的一种机制

2、a shortened array syntax, 短数组语法
如：

3、a built-in webserver for testing purposes
$ php -S localhost:8000
增加了一个内置的Web Server，用于测试环境。

http://php.net/manual/en/features.commandline.webserver.php

Built-in web server

其他功能
支持二进制格式 ，0b开头表示二进制
Added binary numbers format (0b001010).

类型提示
Added callable typehint.

在html中不再需要麻烦地写 了，PHP自身支持

ext/mysql, mysqli and pdo_mysql now use mysqlnd by default.

Added new json_encode() option JSON_UNESCAPED_UNICODE. #53946.

总之，5.4提升了很多，但刚出来还没有实用过，值得期待，暂不使用到生产环境。

change log 参见这里

http://php.net/ChangeLog-5.php

从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本，这是由于与Linux/Unix系统是采用多进程的工作方式不同的是Windows系统是采用多线程的工作方式。如果在IIS下以CGI方式运行PHP会非常慢，这是由于CGI模式是建立在多进程的基础之上的，而非多线程。一般我们会把PHP配置成以ISAPI的方式来运行，ISAPI是多线程的方式，这样就快多了。但存在一个问题，很多常用的PHP扩展是以Linux/Unix的多进程思想来开发的，这些扩展在ISAPI的方式运行时就会出错搞垮IIS。而用线程安全版本的话顶多只是搞跨某个线程，而不会影响到整个IIS的安全。

当然在IIS下CGI模式才是 PHP运行的最安全方式，但CGI模式对于每个HTTP请求都需要重新加载和卸载整个PHP环境，其消耗是巨大的。为了兼顾IIS下PHP的效率和安全，有人给出了FastCGI的解决方案。FastCGI可以让PHP的进程重复利用而不是每一个新的请求就重开一个进程。同时FastCGI也可以允许几个进程同时执行。这样既解决了CGI进程模式消耗太大的问题，又利用上了CGI进程模式不存在线程安全问题的优势。

因此，如果是使用ISAPI的方式来运行PHP就必须用Thread Safe(线程安全)的版本；而用FastCGI模式运行PHP的话就没有必要用线程安全检查了，用None Thread Safe(NTS，非线程安全)的版本能够更好的提高效率。

新浪微博转发助手

下载地址：http://www.ninja911.com/blog/my_demo/native/sinaWeiboTransmit.rar

版本
—————-
Ver:1.0.0.3
Builed:20120109

使用说明
—————-
请在软件界面中“操作区”填写新浪微博的账号和密码。（不需要在网页中自行输入账号和密码）

功能说明
—————-
1、登陆后自动根据参数设置进行转发
2、支持多账户马甲，需要多开软件达到效果。

备注
—————-
1、如果刷转发时，新浪微博官方提示有“微博发的太多啦，休息一会再发”等信息，意思不让你继续转发了，您可以点击软件中的“注销登录”，换一个您另外的新浪微博账号继续帮我刷。
2、转发地址可以通过点击列表中的日期获得，最后样式如 http://weibo.com/1883881851/xFUgXcUcP

开发软件(推广)
—————-
快手：http://www.aau.cn

系统要求
—————-
* Windows 2000/XP/2003/Vista/7 或以上

反馈
—————-
请将反馈、建议和任何评论发到:
- 邮件: ninja911@qq.com
- 作者BLOG: http://www.ninja911.com
- 卡盟社区: http://www.ipkaka.com

上周的时候Dmitry突然在5.4发布在即的时候, 引入了一个新的配置项:

这个预防的攻击, 就是”通过调用Hash冲突实现各种语言的拒绝服务攻击漏洞”(multiple implementations denial-of-service via hash algorithm collision).

攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求头, 并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表.

这样一来, 如果数据量足够大, 那么就可以使得语言在计算, 查找, 插入的时候, 造成大量的CPU占用, 从而实现拒绝服务攻击.

PHP5.4是通过增加一个限制来尽量避免被此类攻击影响:

目前已知的受影响的语言以及版本有::

Java, 所有版本

JRuby <= 1.6.5

PHP <= 5.3.8, <= 5.4.0RC3

Python, 所有版本

Rubinius, 所有版本

Ruby <= 1.8.7-p356

Apache Geronimo, 所有版本

Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22

Oracle Glassfish <= 3.1.1

Jetty, 所有版本

Plone, 所有版本

Rack, 所有版本

V8 JavaScript Engine, 所有版本

不受此影响的语言或者修复版本的语言有::

PHP >= 5.3.9, >= 5.4.0RC4

JRuby >= 1.6.5.1

Ruby >= 1.8.7-p357, 1.9.x

Apache Tomcat >= 5.5.35, >= 6.0.35, >= 7.0.23

Oracle Glassfish, N/A (Oracle reports that the issue is fixed in the main codeline and scheduled for a future CPU)

CVE: CVE-2011-4885 (PHP), CVE-2011-4461 (Jetty), CVE-2011-4838 (JRuby), CVE-2011-4462 (Plone), CVE-2011-4815 (Ruby)

在中国，从卵子和精子结合开始，你就成为一个合格而且光荣的纳税人！ 你感到光荣吧？？

已经被使用过了，没有啦！！

4887b427c5b8539a
8da3d4b313513183
59b2bc68b18b15ab
6d402f1fea3d1464
7f72f4e98346facc
5d87f2566ebe7f07

需要的赶紧，也请使用的用户留言一下，我好删除