2011/09/04
来源:北京商报
本报近日独家报道《信用卡被盗刷2.6万谁来赔偿》一文,引起了读者和网友的强烈关注。不少读者纷纷反映,与文中的卡主一样,他们此前一直以为不设密码只设签名的信用卡挂失后,银行会承担一定的损失。没想到,很多银行不仅不提供任何赔偿,调取记录还要收取高额的费用。
窥一斑其实难见全身。究竟各家银行在信用卡盗刷后是如何保障持卡人利益的?本期,我们对包括四大国有银行、股份制商业银行以及部分外资银行等在内的20家银行进行了调查,希望能让持卡人对失卡保障有更全面和客观的了解。
转一篇2007年8月(我刚从日本回国)的旧文,大中华汽车 http://motor.icxo.com/htmlnews/2007/08/17/1180171_1.htm
天下大事,分久必合,合久必分。
通用汽车主管全球车辆工程技术的集团副总裁James E.Queen,却将“分”与“合”同步进行。
自2005年3月起,James E.Queen开始主管通用汽车全球车辆工程业务部门。虽然从未获得经济学学位,James E.Queen却长于从成本、需求两个不同的角度考虑解决方案——以“合并”降低成本,以“分工”满足需求。
他自有他的道理。
$sql='UPDATE pw_user SET `onlineip`=$onlineip WHERE `uid`=$winduid';
再看$onlineip是怎么来的:
if($_SERVER['HTTP_CLIENT_IP'])
$onlineip=$_SERVER['HTTP_CLIENT_IP'];
else if($_SERVER['HTTP_X_FORWARDED_FOR'])
$onlineip=$_SERVER['HTTP_X_FORWARDED_FOR'];
else
$onlineip=$_SERVER['REMOTE_ADDR'];
$onlineip =substrs($onlineip,16);
十六个字节,够提升权限的了吧?抓包提交HTTP_X_FORWARDED_FOR。
这类文章用于说明PHP的漏洞、PHP安全性不如ASP或JSP,那就说明你就是个人云亦云的外行!
这只能说明在处理SQL语句时一定要检查SQL语句中变量的真实情况罢了。
再次请编程人员记住:客户端返回的数据都是不可信的,一定要再三校验,尤其是处理SQL(尤其是update或set等更新数据库的语句)!
但是,连这样普通的一个判断用户真实IP的代码,都有可能被伪造,说明了其实潜在的危险还是蛮大的。
所以在SQL执行插入前,一定要用合适的方法先进行校验,而且SQL中变量两端加上引号!本例中如果变量加上引号,应该问题也会好一点。不过加上引号,恶意用户也能在$onlineip中加入引号以提前结束SQL的。这里显示应该用正则来检验/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$/。
