分享未来 ^Internet _Technology

昨天遇到一个诡异的事情，json输出一个包含数字的字段却在浏览器上数字不对称，原始数据为

{"aa":201808041446086641}

但是Chrome浏览器上打开却显示：

{"aa": 201808041446086660

}

没错后面的86641变成了86660.接口吐出的数据是正常的，期初是怀疑浏览器的解析兼容性问题，但是后来测试了firefox和ie都能正常识别，当然也怀疑过浏览器对于json中数字的识别是否出现了溢出。后来换了一个没有安装任何插件的chrome测试是显示的正常的，这里可以确认json formatter插件导致json的显示异常了。那么如何避免这个问题呢？你可以在后端返回的时候保证所有返回值都是字符串类型就行了。

微信支付平台以前一个商户id只能对应一个公众号appid，后来在2017年新增了商户对应多APPID授权工具（M-A授权），这样可以给多个微信小程序和公众号开通授权支付功能，而不需要像以前那样一个公众号开通支付功能必须新增一个商户号。

最近开发中遇到一个问题：appid and openid not match

[code="xml"]
<xml>
<return_code><![CDATA[FAIL]]></return_code>
<return_msg><![CDATA[appid and openid not match]]></return_msg>
</xml>
[/code]

经过检查发现，一定要在微信支付统一下单接口中使用的appid为被绑定的公众号的appid，或者小程序id，而不是最早微信支付平台给绑定的appid。这个问题对于一个微信支付平台对应多个公众号支付或者小程序支付时，一定要注意APPID的设定是公众号或者小程序本身的appid

多人维护的工程项目，往往对历史代码有些不理解，phpstorm在新版本中集成了一个很有用的功能

“Show History for Selection”

只要我们对有疑问的代码进行框选，然后右键点击git->Show History for Selection ,phpstorm就会去git history中去检查这行代码在历史记录中出现的状态。

最近对Discuz系统的木马清理及防护做了一番学习，对系统安全防护有了如下几点总结。

1. 常规的Linux系统层面的安全防护是基础，不外乎限定公网端口暴露数量以及传统基础服务的安全漏洞修复。

2. 动静态文件的可执行化分离，用户上传的行为文件的有效隔离，确保文件的非可执行。

3. DiscuzX之所以漏洞百出就在于大量使用的eval，exec类系统调用执行函数，同时对用户传递到服务器端的数据没有做统一的类型转换。系统前端有必要增加WAF的接入防护，同时对已经公开的漏洞进行代码级的修复。

4. DiscuzX的系统key都需要进行定期的更换，这两年DiscuzX系统被大规模入侵而导致360搜索引擎被大规模收录非法内容的问题，很多都因为ucenter的key被泄露，导致系统被植入了木马代码。同时dz底层的cookie加密key也有必要定期更换，否则被黑客非法获取后可以在本地搭建还建来模拟任何用户的登录。

5.对于任何PHP的系统都需要做文件MD5值的检查，定时扫描系统所有代码的MD5，避免对文件的直接篡改。

6.黑客对于木马植入不外乎对系统访问权限的渗透，因此除了系统指定的可写目录以外，尽量要避免黑客对非程序代码目录的可侵入性。例如/var/tmp, /tmp 这样的目录，任何权限组都可以写入时也需要定期进行安全扫描，检查这些目录中是否有可疑的文件存在。

7.preg_replace函数中/e 修饰符是非常危险的，在我们的系统中尽量要保证数据传参进来是可控的，如果被黑客利用自定义设定参数给到preg_replace，那么很有可能通过/e修饰符来执行php命令。

8. 黑客入侵修改文件不外乎使用include和requie来调用自己的隐蔽文件，通常为了不明文在代码中包含木马文件地址，会使用pack的手法进行一定的混淆。例如PACK('H*','XXXXX')