微软最近发布了专为PHP所用的SQL Server 2005驱动（SQL Server 2005 Driver for PHP）1.0版。

　  　这一驱动的目的是在PHP和SQL Server 2005之间提供更强大的交互功能：SQL Server 2005 Driver for PHP是PHP 5的一个扩展，用来访问SQL Server 2005。这一扩展为所有的SQL Server 2005版本(包括速成版)，提供了一个数据访问编程接口。SQL Server 2005 Driver for PHP API提供了对Windows认证、交易、参数绑定、流、元数据访问和错误处理的支持。（MSDN）

　  　该驱动现在可以从微软网站上下载。MSDN另外还提供了一个应用示例和详细文档。

　  　基于微软公共协议（Microsoft Public License，Ms-PL)，微软还在CodePlex上发布了这个驱动的源代码。开发人员可以用这些源代码创建自己的应用，但是微软仅对MSND下载站点上的签约驱动版提供支持。

　  　SQL Server 2005 Driver for PHP需要微软SQL Server 2005 ODBC驱动的支持，而该ODBC驱动只用于Windows平台。目前微软还没有计划要为其他操作系统平台提供类似的驱动。

      Apache的日志分割要借助于目前国际上最流行、最通用的日志分割工具cronolog。日志轮循工具cronolog，已经是比较的相当成熟，在不中断apache服务器的情况下，它能严格的按每一天00:00:00-23:59:59来实现日志文件的分割，同时不受apache服务器重启的影响，安装配置十分简单。

第一步    安装cronolog

首先需要下载和安装cronolog，可以到http://www.cronolog.org/ 下载最新版本的cronolog。下载完毕以后，解压安装即可，方法如下所示：

[root@www tmp]# tar xvfz cronolog-1.6.2.tar.gz
[root@www tmp]# cd cronolog-1.6.2
[root@www cronolog-1.6.2]# ./configure
[root@www cronolog-1.6.2]# make
[root@www cronolog-1.6.2]# make check
[root@www cronolog-1.6.2]# make install

完成cronolog的配置和安装，默认情况下cronolog是安装在/usr/local/sbin下。

第二步   配置httpd.conf

在此认为apache服务器安装在/usr/local/目录下；修改apache日志配置文件httpd.conf如下所示：

1、设置日志格式定义

把httpd.conf中的以下语句：
LogFormat “%h %l %u %t \”%>s %b \”%{Referer}I\” \%{User-Agent}I\””combine

改为：
LogFormat “%h %l %u %t \”%>s %b \”%{Referer}I\” \%{User-Agent}I\””

2、设置TransferLog命令
CustomLog /usr/local/apache/logs/access_log common

或是
CustomLog /usr/local/apache/logs/access_log combine


为
TransferLog “|/usr/local/sbin/cronolog /usr/local/apache/logs/%Y%m%daccess_log”

备注：
/usr/local/sbin/cronolog 为cronolog安装后的路径。
/usr/local/apache/logs/ 为日志分割时候日志保存位置。

      如果是有虚拟站点，那么需要对虚拟站点另外单独设置TransferLog命令，这样保证不同的虚拟站点的日志保存在不同的位置，也就是说每个虚拟站点都有单独的日志文件。如下所示，虚拟站点www.abc.com中添加TransferLog命令，保存的日志文件为单独的文件%y%m%dabcaccess_log。


       ServerAdmin   webmaster@dummy-host.example.com
       DocumentRoot       /usr/local/apache/docs/xxxx
       ServerName    www.abc.com
       TransferLog   “|/usr/local/sbin/cronolog /usr/local/apache/logs/%Y%m%dabcaccess_log”


第三步   重新启动Apache服务器

保存设置，重启apache服务器，浏览网站后，就会在 /usr/local/apache/logs/ 目录下产生当天对应的虚拟网站日志文件。

2、设置虚拟目录来发布日志
第一步    打开Apache配置文件httpd.conf，在其中（如果是虚拟主机发布，那么需要在虚拟配置范畴内）添加以下代码：
Alias /wwwlogs/ "/usr/local/apache/logs/"

    Options Indexes MultiViews
    AllowOverride None
    Order allow,deny
    Allow from xxx.xxx.xxx.xxx



以上的设置把/usr/local/apache/logs/目录下面的所有日志通过/wwwlogs/ 这个虚拟目录发布处理。同时这个虚拟目录禁止除了xxx.xxx.xxx.xxx（网站群流量分析服务器）以外的所有IP地址访问。

重新启动Apache服务器

来源：坏狼安全网
eWebEditorNet 主要是一个upload.aspx文件存在上传漏洞。
原理：

代码



只是简单的对ID进行验证,只要构造javascript:lbtnUpload.click();满足条件达到上传木马的效果。成功以后查看源代码

代码



木马的具体地址为
/eWebEditorNet/UploadFile/200801141044412198.cer
这样就轻松的拿下了一个网站。

1.先建立目录
  mkdir -p /tmpdir/bin
  cp /bin/bash /tmpdir/bin

2.建立chroot所需要的环境
./cr.sh /tmpdir
  more cr.sh




此shell目的是把运行bash的相关内容复制过来。

3.把chroot /tmpdir这个指令加入启动过程中

注：这个不一定安全，有些安全选项需要自己注意。

Phpcms 2008 Beta1 免费下载

下载地址：http://soft.phpcms.cn/2008/0901/soft_146.html

演示地址：http://demo.phpcms.cn

此次只提供简体中文GBK版，我们建议大家安装测试，但是不建议用测试版正式建站！


Phpcms 2008 运行需求环境

操作系统：Windows/*unix
Web服务器：Apache/IIS
PHP：4.3.0 及以上
Mysql：4.0 及以上
zend optimizer：2.6.0及以上


Phpcms 2008 主要功能介绍

内容模型

·可自定义内容模型，例如新闻、下载、图片、分类信息、产品
·可自定义字段
·可按字段自定义搜索条件
·可按字段自定义标签调用条件
·可自定义工作流
·支持无限极栏目、分类和地区
·支持自定义关键词，并按关键词调用相关信息，可以按关键词列出所有相关信息
·支持推荐位功能，拥有权限的管理员可以很方便地把信息推送至指定的网页位置

会员模型

·可自定义用户模型，例如房产用户，黄页用户，中介用户等
·可自定义用户模型的字段
·可以使管理员定制的用户中心的菜单
·增加了对密码的强度判断功能，能够方便用户对自己密码的设定有感性的认识
·改进了用户表的设计，能够更快速度的查询用户信息

个人空间

·能够在后台自定义空间API
·在个人空间根据API所指定的文件可以得到每个会员发布的信息
·为其他人提供了一个展示自我的平台

广告管理

在2007版基础上，广告主可在前台订购广告，并且可以在前台查看所投放的广告统计报告，包括点击和展示统计，后台管理员也可以查看每个广告的详细统计报告

投票调查

支持原有的单选和多选投票
支持按用户组设置投票权限限制
支持按用户组设置前台投票结果查看限制
支持限制单用户或IP多次投票
支持多选投票设置最多投票选项限制
支持设置调查问卷，可以在一个大主题下设置多个小的调查主题组织成一份调查问卷

友情链接

功能和2007版基本类似，做了进一步完善

订单模块

站长可以在任意页面创建一个下订单的按钮，用户点击后进入订单页面可以下订单，后台管理员可以查看订单。订单模块可以整合其他任意涉及到交易的模块，配合财务模块即可完整的在线购买功能。

财务模块

可以通过在线支付、支付卡、银行汇款等多种方式充值，然后结合订单模块可以完成在线交易功能。支持前台查看消费记录，后台查看财务统计。

邮件订阅

支持前台按类别订阅电子杂志，支持后台自定义电子杂志并进行邮件群发，支持按用户组进行邮件群发，支持电子邮件地址导出和导入

问吧

·支持栏目无限级分类功能；
·支持后台标签设置，前台调用功能；
·支持 全部问题、已解决问题、待解决问题、投票中的问题、高分问题等标签调用；
·支持悬赏功能；
·支持会员等级头衔分组划分及积分设置功能；
·支持会员积分排行功能；
·支持问题当前的状态显示；
·支持问题答案标签调用和数目显示；
·支持悬赏图标列表自动显示功能；
·支持二级域名绑定功能；
·支持处理问题自动增加积分功能；
·支持回答自动加积分；
·支持回答被采纳，获得悬赏分与系统悬赏分；
·匿名提问扣除积分；
·悬赏付出扣除积分；
·支持最佳答案收到大量好评，系统自动加积分功能；
·支持问题补充修改功能；
·支持删除垃圾提问自动扣除积分功能；
·支持发布审核功能；
·支持回答审核功能；
·支持内容页、栏目页伪静态设置；
·支持问题15天内不处理扣除积分
·支持会员投票每日最多可获得积分

顶一下

·支持标签调用；
·支持跨域名调用DIGG；
·支持两种统计模式
   1->按用户统计（用户对每个主题只能‘顶’和‘踩’各一次）
   2->按客户端记录Cookie 统计 （删除客户端Cookie或者Cookie有效期过期均可重复统计）
·支持前台DIGG列表
·支持按栏目显示digg列表

心情指数

·支持多种方案添加、设置、修改、同时运行；
·支持后台管理查看心情排行详细列表；
·支持跨域名调用；



评论功能

在原有功能基础上，更多地应用了ajax无刷新技术，优化了用户体验

专题功能

吸取大型门户网站的经验，不再采用往专题里发信息的方式，而是融合了可视化编辑碎片的功能，让编辑可以得心应手地快速制作出各种专题。

碎片功能

碎片功能融合了2007版里的自由调用和自定义标签功能，并且可以有效地和首页、栏目、专题等进行结合，支持后台可视化编辑和预览

根据我们和一些大型门户网站编辑的交流，碎片在大型门户网站应用非常广泛，大型网站首页和频道首页几乎都是通过碎片的方式进行维护。据我了解酷六目前的首页和各频道页基本都是通过碎片功能进行维护的，搜狐新闻频道的应用也非常广泛。从2008版开始，我们将把这项大型门户网站的“专利”免费给广大中小站长分享。

自由标签功能

支持在网站后台设置数据源，然后在模板中通过标签方式调用phpcms之外的任意数据库内容，可以很方便地和论坛、博客、商城等程序进行整合

全站搜索

采用中文分词和Mysql全文检索技术，搜索效率大幅提高。全站搜索模块提供了一组API，其他模块或只要通过API把数据提交到搜索模块，那么用户就可以通过全站搜索功能查找该模块的数据。如果给论坛做一个对应的提交数据的API，那么也将可以在PHPCMS全站搜索中检索论坛帖子。

标签功能

支持给每条内容设置关键词，前台可根据关键词显示相关信息，并将列出热门关键词，点击关键词可以列出包含此关键词的相关信息

全新的后台界面

全新的后台界面给人焕然一新的感觉，采用了AJAX技术动态加载树形菜单，减轻负载，改善体验

全新的前台模板

有更好的视觉效果，采用div+css，兼容 IE 和 Firefox 等主流浏览器，命名规范，代码精简