对于输入验证攻击的一些关键点：

1. 服务器端的输入验证，所有的字段前台输入后，后台程序都要进行判断有效性，而不是单纯的使用javascript来判断。
2. 字符编码：HTML字符应该被当作编码，这样可以防止应用程序错误地解析他们。例如：将角扩号表示成“&lt”和“&gt”.屏蔽select （sel） insert update del grant revoke这些关键字的输入。
3. 正则表达式：使用正则表达式来匹配未经授权的数据内容。
4. 健壮的数据类型：数字值应该指派一个数字结构类型，字符值应当指派一个字符结构类型。长度限制在前台程序和后台程序都要加上判断。
5. 所有异常都要使用try Catch来捕捉，或者使用errorpage的属性来定义不能捕获的异常信息，不能够将任何出错后的代码信息显示给用户。
6. 要求认证，培植服务器，要求对每个目录中的所有文件都有恰当的认证。
7. 使用最小权限访问 以尽可能低的权限的用户涨好赖运行web服务器上的应用程序。应用程序可能可以执行命令但是不能访问象/sbin这样的系统目录，因为只有具有root权限的用户才可以执行改目录中的命令。

关于防止sql语句注入的一些防范错误：

1. 健壮的错误处理：

一定不要吧未经处理的odbc或者其他错误传递给用户。使用普通的错误页面和错误处理程序通知用户所发生的错误。但是不要提供系统信息、变量或其他数据。

1. 参数列表：

将用户提供的数据存储到特定的变量中，字符串的连接是安全sql语句的最大隐患，因为它给用户提供了一种最简单的方法，用户可以使用单引号来操作sql语句。

在web 服务器上应该进行输入验证，而且数据库中的条目也应该有严格的类型定义。一个仅使用数值的字段应该被定义为int类型，而不是varchar类型。

1. 存储过程：

用户自定义的存储过程更加难于进行sql注入。因为他们需要以特定的格式在特定的地方给出特定数量的参数，因此有许多前台条件需要满足。用户字定义的存储过程还可以提高性能。

1. 以较低的权限运行：数据库应用程序应该在最低权限下运行。同样，web服务器使用的用户账号也应该具有有限的功能。当然，该账号必须能对数据库进行读写操作，但是他不必修改master数据库或者执行备份的操作。
2. 保护计划：

表名、列名和sql的结构都不应在HTML中出现。不要将敏感信息放到用户能看到的页面文件的注释中。

1. 使用数据绊网：

用模糊的方法进行保护的一个例外就是利用一些容易识别的文件存储假的用户ID和密码。用这些假文件中的用户ID登录就会警告支持人员有人已经非法进入到了应用程序的数据库，并且试图进一步行动。这个方法的缺点是，只有在有人注意到警告时，绊网才会起作用，这个需要有人进行实时监控。

1. 将数据写到高速光驱上，让敏感信息不能被改写。
2. 数据伪装，将很多数据不要加密成很明显的加密形式，而是加密成很象正常数据的形式，这样黑客进入系统后拿到的数据也不能用。起到了欺骗的作用。
3. 分布式的数据拷贝，将数据库的敏感文件放在不同的服务器上，这样黑客需要攻破多个数据库服务器才能够将数据获取。或者将敏感的数据库字段分别放在不同的数据库文件的表中，这样黑客和难获得完整的数据。
4. 敏感的文件不要使用显示其真正用途的名字

用户传入数据的过滤

我们不能紧紧依靠mysql的过滤的机制，而需要对用户输入的变量进行非法字符过滤，防止DoS攻击和sql注入。

$user = get_post_var('user');
if(!preg_match('/^[a-zA-Z0-9_]{1,60}$/', $user))
fail('用户名不合法');
 
$pass = get_post_var('pass');
/* 好歹我们也应该节省点CPU和内存吧，哈哈 */
if (strlen($pass) > 72)
fail('The supplied password is too long');

这一步很关键。在每个项目中，我们都有专门的类来处理$_POST和$_GET过来的数据，保障数据安全。

验证用户身份

一般开发过程中，从安全角度考虑，我们都不建议存储用户密码的明文，这是为什么呢？杜工卖个关子，读者自己思考吧。

创建新用户：

$hash = $hasher->HashPassword($pass);
if (strlen($hash) < 20)
fail('密码分配失败');
unset($hasher);
 
($stmt = $db->prepare('insert into users (user, pass) values (?, ?)'))
|| fail('MySQL prepare', $db->error);
$stmt->bind_param('ss', $user, $hash)
|| fail('MySQL bind_param', $db->error);
if (!$stmt->execute()) {
if ($db->errno ===1062 /* ER_DUP_ENTRY */)
fail('This username is already taken');
else
fail('MySQL execute', $db->error);
}

验证用户身份：

($stmt = $db->prepare('select pass from users where user=?'))
|| fail('MySQL prepare', $db->error);
$stmt->bind_param('s', $user)
|| fail('MySQL bind_param', $db->error);
$stmt->execute()
|| fail('MySQL execute', $db->error);
$stmt->bind_result($hash)
|| fail('MySQL bind_result', $db->error);
if (!$stmt->fetch() && $db->errno)
fail('MySQL fetch', $db->error);
 
if ($hasher->CheckPassword($pass, $hash)) {
$what= 'Authentication succeeded';
} else {
$what = 'Authentication failed';
}
unset($hasher);

由此，验证过程完毕。非常安全。

修改密码

修改密码前一定要验证原来的密码是否正确：

if ($hasher->CheckPassword($pass, $hash)) {
$what= 'Authentication succeeded';
} else {
$what = 'Authentication failed';
$op = 'fail'; // Definitely not 'change'
}

随后进行密码规则判断，看是否符合要求，再进行update操作。

$newpass = get_post_var('newpass');
if(strlen($newpass) > 72)
fail('The new password is too long');
$hash = $hasher->HashPassword($newpass);
if(strlen($hash) < 20)
fail('Failed to hash new password');
unset($hasher);
 
($stmt = $db->prepare('update users set pass=? where user=?'))
|| fail('MySQL prepare', $db->error);
$stmt->bind_param('ss', $hash, $user)
|| fail('MySQL bind_param', $db->error);
$stmt->execute()
|| fail('MySQL execute', $db->error);
 
$what = 'Password changed';

这样，已经存在的用户密码就会被修改成功了。

下载地址 ppt

原因是在编译gd库前，配置时未声明jpeg库路径。解决方法如下：

32位系统:

./configure –with-php-config=/usr/local/php5/bin/php-config
–with-jpeg-dir=/usr/lib

64位系统

./configure –with-php-config=/usr/local/php5/bin/php-config
–with-jpeg-dir=/usr/lib64

重新make&make install后，重启apache即可。

杜工解决方法：将data目录设置在mysql安装目录下，可正常启动服务。

过程：安装msi文件，到最后一步配置时，可跳过，然后进入安装目录 /bin/下，找到MysqlInstanceConfig.exe，运行后，可按照提示一步一步配置。

leaks工具测试也通过.

for (int i = 0; i < [ptableView numberOfSections]; i++) {
    for (int j = 0; j < [ptableView numberOfRowsInSection:i]; j++) {
        NSUInteger ints[2] = {i,j};
        NSIndexPath *indexPath = [NSIndexPath indexPathWithIndexes:ints length:2];
            UITableViewCell *cell = [ptableView cellForRowAtIndexPath:indexPath];
           //Here is your code
 
    }
}

希望对你有帮助。

We began the review of your app but are not able to continue because we need demo phone number and verification code to fully access your app features. Please ensure that the demo account you provide includes any data necessary to demonstrate the functionality of your app features.

我了个去, 杜工怎么之前就没想到这点呢?于是一顿穷改, 加了一个固定的测试号码,只要输入这个号码,系统返回的激活码都是固定的就行了. 最后,重新提交审核,在review notes中客客气气的作下说明:

I’m sorry that our sms platform couldn’t send message to your country. So I added a special account as you mentioned in resolution center: 手机号码:130******* 激活码1234 So as long as you entered this phone No. exactly, the active code will always be 1234.
For that and some bug-fixed, I upload a new binary. Thank’s for your kindly help and best regards.

In fact every other keyboard type (except for the pretty similar UIKeyboardTypePhonePad) does offer the possibility to be dismissed by setting the returnKeyType property of the corresponding UITextInputTraits implementor. So how does one achieve the same effect with the number pad? We have found a workround!

When looking at the number pad, you’ll notice that there is an unused space on its bottom left. That’s where we are going to plug in our custom “return” key.

To make it short: take a screenshot, cut out the whole backspace key, flip it horizotally, clear its backspace symbol in Photoshop and overlay it with the text that we want on our “return” key. We’ve chosen to label it “DONE”. Now we have the image for our custom button’s UIControlStateNormal. Repeat the whole procedure (with a touched backspace key when taking the screenshot) to get a second image for our button’s UIControlStateHighlighted. Here’s the result:

Now back to coding. First we need to know when the number pad is going to be slided up on the screen so we can plug in our custom button before that happens. Luckily there’s a notification for exactly that purpose, and registering for it is as easy as:

 
[[NSNotificationCenter defaultCenter] addObserver:self
                                         selector:@selector(keyboardWillShow:)
                                             name:UIKeyboardWillShowNotification
                                           object:nil];

Don’t forget to remove the observer from the notification center in the appropriate place once you’re done with the whole thing:

 
[[NSNotificationCenter defaultCenter] removeObserver:self];

Now we’re getting to the heart of it. All we have to do in the keyboardWillShow method is to locate the keyboard view and add our button to it. The keyboard view is part of a second UIWindow of our application as others have already figured out (see this thread). So we take a reference to that window (it will be the second window in most cases, so objectAtIndex:1 in the code below is fine), traverse its view hierarchy until we find the keyboard and add the button to its lower left:

 
- (void)keyboardWillShow:(NSNotification *)note {
    // create custom button
    UIButton *doneButton = [UIButton buttonWithType:UIButtonTypeCustom];
    doneButton.frame = CGRectMake(0, 163, 106, 53);
    doneButton.adjustsImageWhenHighlighted = NO;
    [doneButton setImage:[UIImage imageNamed:@"DoneUp.png"] forState:UIControlStateNormal];
    [doneButton setImage:[UIImage imageNamed:@"DoneDown.png"] forState:UIControlStateHighlighted];
    [doneButton addTarget:self action:@selector(doneButton:) forControlEvents:UIControlEventTouchUpInside];

    // locate keyboard view
    UIWindow* tempWindow = [[[UIApplication sharedApplication] windows] objectAtIndex:1];
    UIView* keyboard;
    for(int i=0; i<[tempWindow.subviews count]; i++) {
        keyboard = [tempWindow.subviews objectAtIndex:i];
        // keyboard view found; add the custom button to it
        if([[keyboard description] hasPrefix:@"<UIKeyboard"] == YES)
            [keyboard addSubview:doneButton];
    }
}

Voilà, that’s it! The empty space for our button starts at coordinate (0, 163) and has the dimensions (106, 53). The doneButton method has to be written now of course, but that’s not hard any more. Just make sure that you call resignFirstResponder on the text field that is being edited to have the keyboard slide down.

We’re “DONE”.

本文例子 downloaded as Xcode project
更新: download 3.0 compatible Xcode project.
最新的: download the newest version (可运行 2.0 – 4.0所有版本)

来源:http://www.neoos.ch/news/46-development/54-uikeyboardtypenumberpad-and-the-missing-return-key