下图为非法请求示例

可以利用redis的高性能优势去做一些文章。

原理就是用网站程序去判断用户的请求，如果判断出是恶意的，那么把该访问者记录下来存储到redis中去。如果该访问者再来请求，那么直接给他返回500。正常情况来讲，黑客的扫描工具得知500相应码后，应该会停止扫描吧。就算不停止，那么redis的高性能也可以抵挡这些非法扫描请求，从而达到保护服务器的目的。通常可以设置一个小时内禁止该ip的正常访问。时间可以自己设置。

如何判断恶意访问：比如我的是php程序，如果用户的请求中出现了 .asp或者.jsp，或者hack,hacker字样，那么就判断你小子不老实，就打入冷宫。至于加哪些判断字符可以根据自己的需求进行设置。

需要服务器安装redis，我这里是用的php做了一个示例，我的php文件名为【illegal_deny.php】，用户可以直接在站点入口包含此文件即可。

require __DIR__.'/../app/diy/illegal_deny.php';

下边是文件内容。请根据自己的实际情况进行修改。

<?php
//redis的配置
//define('REDIS_SERVER_IP', '121.40.24.38');
define('REDIS_SERVER_IP', '127.0.0.1');
define('REDIS_SERVER_PORT', 6379);
//auth就是密码
define('REDIS_SERVER_AUTH', 'yourpassword');

//禁止访问的时间，单位秒 3600 = 1小时
define('DENY_TIME', 3600);


function getRedis($db = 0){
    
    $redis = new \Redis();
    $res = $redis->connect(REDIS_SERVER_IP,REDIS_SERVER_PORT);
    $redis->auth(REDIS_SERVER_AUTH);
    $redis->select($db);
    return $redis;
}

//如果是访问一些非法网址，比如黑客，就进行一段时间的访问屏蔽 begin
//非法访问次数
$illegal_attempt_count_key = 'ILLEGAL_ATTEMPT_COUNT';

//是否已经被限制访问
$illegal_key = "ILLEGAL_IP_".$_SERVER['REMOTE_ADDR'];
//$illegal_key = "ILLEGAL_IP_".$_SERVER['HTTP_X_FORWARDED_FOR'];



$uri = $_SERVER['REQUEST_URI'];


$redis = getRedis();
//$redis->delete($illegal_key);
if($redis->exists($illegal_key)){
 
    header('HTTP/1.1 500 Internal Server Error');
    exit(0);
}

$limit_time = DENY_TIME;//禁止时间，单位秒
//判断是否要进行限制

//几个禁止访问的目录
if($uri == '/admin'){
    //
    $redis->setex($illegal_key,$limit_time,date("Y-m-d H:i:s",time()));
    $redis->incr($illegal_attempt_count_key);
    header('HTTP/1.1 500 Internal Server Error');
    exit(0);
}

//限制访问地址包含的一些关键词，只要匹配到就进行限制
$illegal_urls = ['hack','hacker','.asp','.jsp'];
foreach ($illegal_urls as $url){
    if(strpos($uri, $url)){
        //
        $redis->setex($illegal_key,$limit_time,date("Y-m-d H:i:s",time()));
        $redis->incr($illegal_attempt_count_key);
        
        header('HTTP/1.1 500 Internal Server Error');
        exit(0);
    }
}
//如果是访问一些非法网址，比如黑客，就进行一段时间的访问屏蔽 over

$mail = new PHPMailer(true);
$mail->CharSet = PHPMailer::CHARSET_UTF8;
//或者
//$mail->CharSet = 'utf-8';

版本为phpmailer: 6.1.7

http://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html

我要实现的功能就是通过这对公钥和密钥，实现客户端软件对密码进行加密（采用公钥），然后网站端（php）采用密钥进行解密验证。

开始吧。

php服务端利用内置函数生成公钥和密钥。记得这需要php服务器安装了openssl扩展。先生成cer文件和pfx文件。cer文件相当于公钥（可以发给客户端），pfx是密钥（必须严格保存于服务器端不能泄露）。

 $dn = array(
 "countryName" => 'zh', //所在国家名称
 "stateOrProvinceName" => 'GuangDong', //所在省份名称
 "localityName" => 'ShenZhen', //所在城市名称
 "organizationName" => 'baibai', //注册人姓名
 "organizationalUnitName" => 'company', //组织名称
 "commonName" => 'bbb', //公共名称
 "emailAddress" => '123@.qq.com' //邮箱
 );
 $privkeypass = 'cf'; //私钥密码
 $numberofdays = 3650; //有效时长
 $cerpath = "./test.cer"; //生成证书路径
 $pfxpath = "./test.pfx"; //密钥文件路径//生成证书
 $privkey = openssl_pkey_new();
 $csr = openssl_csr_new($dn, $privkey);
 $sscert = openssl_csr_sign($csr, null, $privkey, $numberofdays);
 openssl_x509_export_to_file($sscert, $cerpath); //导出证书到文件
 //openssl_pkcs12_export_to_file($sscert, $pfxpath, $privkey, $privkeypass); //生成密钥文件
 openssl_pkey_export_to_file($privkey, $pfxpath); //生成密钥文件

以下是是php端进行简单测试的代码：

/*
 //私钥加密
 $cer_key = file_get_contents($pfxpath); //获取密钥内容
 openssl_pkcs12_read($cer_key, $certs, $privkeypass);
 openssl_sign($data, $signMsg, $certs['pkey'],OPENSSL_ALGO_SHA1); //注册生成加密信息
 $signMsg = base64_encode($signMsg); //base64转码加密信息
 //echo $signMsg;
 
 
 //公钥解密
 $cer_key = file_get_contents($cerpath); //获取证书内容
 $unsignMsg=base64_decode($signMsg);//base64解码加密信息
 $cer = openssl_x509_read($cer_key); //读取公钥
 $res = openssl_verify($data, $unsignMsg, $cer); //验证
 echo $res; //输出验证结果，1：验证成功，0：验证失败
 */
 
 
 
 $data = "123456";
 $crypted = "";
 $key = file_get_contents($cerpath);
 //公钥加密
 openssl_public_encrypt($data, $crypted, $key);
 echo base64_encode($crypted)."<br>";
 //echo $crypted."<br>";
 
 //私钥解密
 $decrypted = "";
 $s = file_get_contents($pfxpath);
 //echo "<br>$s<br>";
 $key2 = openssl_pkey_get_private(file_get_contents($pfxpath));

 if(openssl_private_decrypt($crypted, $decrypted, $key2)){
 echo $decrypted;
 }
 else{
 echo "failed";
 }

客户端通过加载cer文件，将要加密的文本用公钥加密。以下是一个函数

//通过读取本地的cer文件，得到公钥，然后对文本内容加密，返回加密后的文本，最后传到服务器端，与密钥进行比对
public static String getRSAText(Context context,String strText){

    try {
        //读取证书文件

        InputStream inStream = context.getResources().getAssets().open("test.cer");
        //创建X509工厂类
        CertificateFactory cf = CertificateFactory.getInstance("X.509");
        //创建证书对象
        X509Certificate cert = (X509Certificate)cf.generateCertificate(inStream);
        inStream.close();

        Cipher c1 = Cipher.getInstance("RSA/None/PKCS1Padding");

        c1.init(Cipher.PUBLIC_KEY, cert);
        byte[] cipherText = c1.doFinal(strText.getBytes());


        //base64转换一下，方便传输
        String res = Base64.encodeToString(cipherText,Base64.DEFAULT);
        return res;


    }
    catch (InvalidKeyException e){

    }
    catch (IOException e){

    }
    catch (CertificateException e){

    }
    catch (NoSuchPaddingException e){

    }
    catch (IllegalBlockSizeException e){

    }
    catch (BadPaddingException e){

    }
    catch (NoSuchAlgorithmException e){

    }
    return "";
}

下边是php端用pfx文件（里边放有密钥）进行解密的代码。我改写成了一个函数。参数是pfx文件路径，pfx文件名，要解密的字符串

function getPassword( $path,$pfx_file_name,$str ){ 
 $pfxpath = $path . "/public/$pfx_file_name"; //密钥文件路径
 //$cerpath = "./test.cer"; //生成证书路径
 //私钥解密
 $decrypted = "";
 
 $key2 = openssl_pkey_get_private(file_get_contents($pfxpath)); 

 $res = openssl_private_decrypt(base64_decode($str), $decrypted, $key2);
 
 if($res){
 
 return $decrypted;
 }
 else{
 return "";
 }

}

最低要求3台主机。其中一台做前端，两台做后端。所有请求都是通过前端，然后前端根据后端服务器的负载情况进行请求的分发，最后再通过前端返回数据给访问者。

前端要做的就是反向代理（具体这个含义，说实话，我一直没理解太透彻。。）。主要有两步：一是设置后端的所有服务器地址。二是设置前端所截断、获取的请求要转向的后端组，其实也就是第一步中的设置值。

upstream backend {

#ip_hash;#请求分发方式
server backend1.ss.com weight=5;

server backend2.ss.com weight=2;

server backend3.ss.com weight=1;

}

location / {
#设置主机头和客户端真实地址，以便服务器获取客户端真实IP
#proxy_set_header Host $host;
#proxy_set_header X-Real-IP $remote_addr;
#proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
#禁用缓存

# proxy_buffering off;

#设置反向代理的地址
proxy_pass http://backend; #这里是重点！
}

以后相关的配置就要修改 config.inc.php。

如果你的phpmyadmin是要链接到对应ip的主机，修改

$cfg[‘Servers’][$i][‘host’] = ‘your ip’;

等内容。

在安装时，我还遇到一个小问题，就是如果服务器用了 memcached做session，那么就要再修改一下

这个  config.inc.php 文件，

在最上面加上

ini_set(‘session.save_path’, ”);
ini_set(‘session.save_handler’, ‘files’);

这两句就可以了。其实也就是让php的session恢复到默认的文件存储的意思。

ok.done!

修改这个文件：alipay_notify.class.php

//unset一个参数就可以
unset($_GET[‘_url’]);
$isSign = $this->getSignVeryfy($_GET, $_GET[“sign”]);

由这个事我也大概知道了:

大公司做事其实也很糙。。一些小bug都不会及时更新修复。。

再比如SignVeryfy中的veryfy，应该是verify吧。。。根本就没有veryfy这个单词。。。这水平也真是。。。

要不是自己毕业学校不好，我进大公司的能力也应该是有的，哈哈。唉，导致自己现在苦逼创业了。。。

<body>
<?php
//mysql

$dsn = ‘mysql:host=localhost’.’;dbname=name’;

$pdo = new PDO($dsn, “username”, “ps”);
$pdo->query(“set names utf8”);
/////////////////////////////////////
$handle = fopen(“ips.txt”, “r”);
$i = 0;
if ($handle) {
while (!feof($handle))
{
/*
if ($i >100)
{
break;
}
$i++;
*/
$str = fgets($handle, 4096);
echo $str.”<br>”;
$ip_start = substr($str,0,15);
$ip_end = substr($str,16,15);
$ip_start = str_replace(” “,””,$ip_start);
$ip_end = str_replace(” “,””,$ip_end);

$county_region = substr($str,32,strlen($str)-1);
//$county_region = mb_convert_encoding($county_region, “utf-8”, “utf-8”);
echo $ip_start.”==”.$ip_end.”==”.$county_region.”<br>”;

$ip_start_to_long_int = ip_to_long_int($ip_start);
$ip_end_to_long_int = ip_to_long_int($ip_end);

//insert into mysql
$sql = “insert into `ips`(`ip_start`,`ip_start_number`,`ip_end`,`ip_end_number`,`info`) values( ‘$ip_start’,$ip_start_to_long_int ,’$ip_end’,$ip_end_to_long_int,’$county_region’)”;
$res = $pdo->exec($sql);
if ($res == 0)
{
echo $sql.”<br>”;
}
}
}
echo “ok”;
function ip_to_long_int($ip){

$arr = explode(‘.’,$ip);
$res = $arr[0]*255*255*255 + $arr[1]*255*255 + $arr[2]*255 + $arr[3];
return $res;

}
?>
</body>
</html>

修改网站根目录地址：

Define SRVROOT “C:\Users\Administrator\Desktop\server\apache”

添加apache加载php的扩展及指定加载的php.ini文件夹路径

LoadModule php5_module “C:\Users\Administrator\Desktop\lnmp\php-5.6.20-Win32-VC11-x64\php5apache2_4.dll”
PHPIniDir “C:\Users\Administrator\Desktop\lnmp\php-5.6.20-Win32-VC11-x64”

把php.ini-development复制一份，重新全名为 php.ini

添加指令让apache可以解析php文件

AddType application/x-httpd-php .php

修改文件夹默认首页文件，添加 index.php作为默认首页

<IfModule dir_module>
DirectoryIndex index.php index.html
</IfModule>

apache 不列出目录 把 Options Indexes FollowSymLinks 改为

Options FollowSymLinks

只需要将上面代码中的 Indexes 去掉，就可以禁止 Apache 显示该目录结构。用户就不会看到该目录下的文件和子目录列表了。Indexes 的作用就是当该目录下没有 index.html 文件时，就显示目录结构，去掉 Indexes ，Apache 就不会显示该目录的列表了。

重要 ：在httpd中加入以下两个参数！

# AcceptFilter: On Windows, none uses accept() rather than AcceptEx() and
# will not recycle sockets between connections. This is useful for network
# adapters with broken driver support, as well as some virtual network
# providers such as vpn drivers, or spam, virus or spyware filters.
AcceptFilter http none
AcceptFilter https none

cmd 命令把 apache 添加到服务

httpd.exe -k install

其实可以httpd -help 查看命令帮助

php7安装包地址：http://cn2.php.net/get/php-7.0.2.tar.gz/from/this/mirror

wget http://cn2.php.net/get/php-7.0.2.tar.gz/from/this/mirror

configure 时可能会遇到：xml2-config not found 提示

安装两个包：

yum install libxml2

 

yum install libxml2-devel

 

用jquery非常简单

直接上代码了