1.Mqtt开发笔记：windows下C++ ActiveMQ客户端介绍、源码编译和使用
2.GitHub上可以搞钱的源码项目大集合，源代码全部开放！源码赶紧收藏！源码
3.php代码审计学习之函数缺陷

Mqtt开发笔记：windows下C++ ActiveMQ客户端介绍、源码编译和使用

       前话

       项目需求驱使我们转向 MQTT 协议的源码网站源码报毒实现，由于 QtMqtt 库不支持队列模式（点对点），源码而只能使用订阅/发布者模式，源码我们决定采用 C++ ActiveMQ 进行开发。源码

       MQTT 协议

       MQTT，源码即消息队列遥测传输协议，源码是源码一种基于发布/订阅模式的轻量级通讯协议，IBM 在 年发布。源码其优点在于，源码以极低的源码代码量和带宽消耗提供即时可靠的消息服务，广泛应用于物联网、小型设备和移动应用。

       设计原则与特点

       MQTT 的核心特点是发布/订阅消息模式，实现一对多的消息发布，减少应用程序间的耦合。它对负载内容进行屏蔽的高效传输，基于 TCP/IP 提供网络连接，支持三种消息发布服务质量。它的小型传输、低开销和客户端异常中断机制，使其非常适合物联网领域，尤其适用于传感器与服务器间的通信，以及信息收集。

       发布/订阅者模式

       MQTT 是基于客户端-服务器的消息发布/订阅传输协议，适用于受限环境，如机器与机器通信、物联网应用，特别适合传感器和服务器通信，以及小型设备的抄底买入源码运算能力和带宽相对不足的情况。

       MQTT 服务器

       MQTT 协议中的服务器角色称为“消息代理”，可以是应用程序或设备，位于消息发布者和订阅者之间，负责数据推送。

       MQTT 协议中的方法

       MQTT 定义了一系列方法（动作），用于操作服务器上的资源，包括数据处理和生成。主要方法包括读取、写入、订阅和发布等。

       CMS 客户端

       CMS API 是一种类似 JMS 的 C++ API，用于与消息代理进行交互，如 Apache ActiveMQ，它使客户端代码更加整洁、易于维护。

       下载与编译 ActiveMQ-CPP

       下载 ActiveMQ-CPP 的最新 Windows 版本源码，推荐访问官网或 CSDN 下载页面。使用 VS 编译 ActiveMQ-CPP。

       编译步骤

       1. 解压下载的压缩文件至专用文件夹。

       2. 使用 VS 打开编译工程文件。

       3. 编译“avtivemq-cpp”时遇到“/ZI”和“/Gy-”命令行选项不兼容的错误。

       4. 通过手动更改“/Zi”和“/Gy”命令为兼容版本来解决。

       5. 继续编译工程生成 debug 和 release 版本。

       6. 编译通过，切换到 release 版本后，需要重新配置包含头文件属性并编译。

       编译 APR-1.7.0 库

       ActiveMQ 依赖 APR 库，其相关信息在源码根目录的 README.txt 中提供。首先下载 APR 库，解压至专用编译文件夹，使用 CMake 配置工程，生成 VS 工程文件。然后，filecoin源码架构使用 CMake 生成 APR 库，通过 VS 打开并编译工程，最终完成头文件和库文件的归类整理。

GitHub上可以搞钱的项目大集合，源代码全部开放！赶紧收藏！

       关注会变身的火娃，学Github实用高质量项目不迷路（持续更新中~）

       ==更多相关内容，请观看我主页《Github实用高质量项目》专栏==

       GitHub是宝藏，绝大多数开源项目按照开源协议可以自由商业化。

       赶紧收藏！

       人工智能

       1、只输入一句话的需求，它就能输出软件公司的整个流程，以及精心安排的标准作业程序

       2、 一个开源、免费的虚拟现实（VR）应用的网页开发框架

       3、 这个数字人开源项目太牛了，非常全面的项目解决方案(含源码)

       4、 AI换脸来了！一款实时直播和视频AI换脸程序

       低代码/零代码

       1、 一个开源低代码平台，是构建提高生产力的内部应用程序的最简单方法

       2、 一个开源的低代码平台

       3、 零代码平台开源！Motor Admin是一款在不到一分钟的时间内为任何应用程序部署无代码管理面板

       企业服务

       1、 一款单个键盘和鼠标来控制多台计算机的开源软件

       2、 一款简化 Web 应用程序身份验证的开源软件项目

       3、 Apache上的一个动态、实时、高性能的 API 网关

       4、 Apache最火的开源任务调度框架

       工业

       1、 一款设计十分灵活且超好用的removeall源码讲解中小型 ERP 系统

       2、 GitHub好项目：Idurar是一款开源的ERP-CRM系统，发票、库存、会计、人力资源等业务管理、二开可以赚钱

       3、 GitHub开放源代码项目：IDDM 工业缺陷扩散模型

       学习

       1、 免费、开源客户管理软件CRM，适用很多企业，拿来做项目赚钱！

       2、 一个内容管理系统(CMS)，可让您构建网站和强大的在线应用程序

       3、 发现一款不错的开源报表工具，分享给大家，希望可以帮助您！

       工具

       1、 一款由文本生成图像的强大模型，可以智能地将文本集成到图像中

       2、 一个自托管的开源网络画廊，用于浏览个人照片和视频

       3、 一款开源、实用的数据集因果分析工具

       GitHub /GitPP

       GitHub 和 GitPP 都是全球知名的开源平台，它们为开发者、设计师、产品经理和其他专业人士提供了一个展示和合作的空间。在这些平台上，各种职业的人可以通过以下方式赚钱和提高自己：

       1.软件开发者：

       - 贡献开源项目：通过为开源项目贡献代码，开发者可以提高自己的技术水平，同时建立自己的声誉。有些开源项目会提供小额奖金或赞助给贡献者。

       - 创建个人项目：开发者可以创建自己的源码资本 字节开源项目，并通过赞助、捐赠或提供付费增值服务来获得收入。

       - 提供专业服务：在GitHub/GitPP上，许多公司会寻找自由职业者来完成特定的开发任务，开发者可以通过这种方式获得工作机会。

       2.设计师：

       - 展示设计作品：设计师可以在GitHub/GitPP上展示他们的设计作品，吸引潜在的客户或雇主。

       - 参与设计竞赛：有些开源项目或公司会在GitHub/GitPP上举办设计竞赛，设计师可以通过参与这些竞赛来获得奖金和认可。

       3.产品经理：

       - 管理开源项目：产品经理可以参与或发起开源项目，通过社区合作开发产品，提升自己的产品管理能力。

       - 建立产品案例：通过在GitHub/GitPP上展示成功的产品案例，产品经理可以吸引潜在雇主或客户。

       4.教育者：

       - 提供教程和课程：教育者可以在GitHub/GitPP上提供编程教程、课程资料等，收取费用或通过广告获利。

       - 建立学术项目：教师和研究人员可以发起或参与开源的学术项目，推动知识的共享与传播。

       5.市场营销和销售专业人士：

       - 推广开源项目：通过为开源项目提供市场营销支持，这些专业人士可以帮助项目增加知名度，间接或直接从中获益。

       - 建立商业模型：围绕开源项目建立商业模型，例如提供相关的付费服务或产品。

       6.企业和组织：

       -开源企业项目：企业可以通过开源内部项目来吸引外部开发者，共同改进产品。

       - 招聘优秀人才：通过GitHub/GitPP上的个人项目和贡献，企业可以发现和招聘技术人才。

       开源平台不仅仅是一个技术交流的场所，也是一个职业发展的舞台。通过参与开源项目，个人和团队可以展示自己的能力，学习新知识，建立职业网络，并有可能获得经济上的回报。

       开源协议是规定开源软件使用、修改和分享的法律文件。它们为使用者提供了使用、复制、修改和分发软件的权利，同时保护了原作者的权益。开源协议有多种不同的类型，每种都有其独特的特点和适用场景。以下是一些常见的开源协议及其基本情况：

       1. GNU General Public License (GPL)：

       - 特点：GPL 是最著名的开源协议之一，由自由软件基金会（FSF）制定。它要求任何基于GPL软件开发的衍生软件也必须以GPL协议开源。

       - 商业化：GPL协议的软件可以商业化，但商业化产品也必须遵循GPL协议，即必须开源。

       2. MIT License：

       - 特点：MIT License 是一种简单和灵活的开源协议，允许使用者在不影响软件的使用和分发的情况下，自由地修改和使用源代码。

       - 商业化：MIT License 允许其软件用于商业目的，无需公开修改后的代码。

       3. Apache License：

       - 特点：Apache License 是由Apache软件基金会制定的开源协议，它允许使用者自由地使用、修改、复制和分发软件，并保留原作者的版权信息。

       - 商业化：Apache License 允许将软件用于商业目的，且无需公开修改内容。

       4. BSD License：

       - 特点：BSD License 是由伯克利加州大学（UCB）制定的一种开源协议，它鼓励代码共享和创新。

       - 商业化：BSD License 允许使用、复制和分发软件，同时也允许将修改后的代码作为专有软件发布，因此对商业集成非常友好。

       5. Mozilla Public License (MPL)：

       - 特点：MPL 是由Mozilla基金会制定的开源协议，它结合了GPL和BSD的特点，要求对源代码的修改必须公开，但对最终用户的使用和分发没有限制。

       - 商业化：MPL 允许将软件用于商业目的，但对修改后的代码有开源要求。

       6. Eclipse Public License (EPL)：

       - 特点：EPL 是Eclipse基金会制定的开源协议，它类似于GPL，但更加注重于商业友好性。

       - 商业化：EPL 允许将软件用于商业目的，但对衍生软件有开源要求。

       开源协议的选择取决于软件的目的、开发者的意图以及预期的商业模式。一些协议如GPL更注重于保护软件的自由使用和分享，而其他如MIT、BSD和Apache License则更加商业友好，允许更多的灵活性和商业用途。在选择开源协议时，开发者应仔细考虑自己的需求和目标，以确保选择最合适的协议。

       关注我会变身的火娃，一起学习，一起成长。

php代码审计学习之函数缺陷

       原文链接：

       在文件上传代码中，若文件名位于1-区间内，利用PHP的弱类型比较特性，文件可成功上传。例如，数字6被转换为6，因该值位于指定范围内，从而实现上传。

       在piwigo2.7.1中，当case为"rate"时，将"rate"与"image_id"传入functions_rate.inc.php文件的"rate_picture"函数。查找"rate"是否存在于配置数组$conf['rate_items']中。只要"rate"值在(0,1,2,3,4,5)范围内，即可以绕过验证，但in_array函数第三参数未设置为true，导致安全漏洞。

       CTF中，"stop_hack"用于过滤危险函数。通过获取GET参数ID，使用"stop_hack"进行过滤并拼接到SQL查询语句中。filter_var函数存在默认仅过滤双引号，不过滤单引号的缺陷，除非设置"quotestyle"选项为ENT_QUOTES，才能实现对单引号的过滤。

       在anchor-cms源码分析中，关键代码未进行XSS过滤，存在安全风险。

       在CTF实例中，利用"__autoload"函数实现任意对象实例化。通过获取get参数并使用"stop_hack"过滤后，拼接到SQL查询语句中，实现任意对象的实例化。

       在Shopware 5.3.3的XXE代码分析中，获取"sort"参数并传入"RepositoryInterface"类的"unserialize"方法。通过"LogawareReflectionHelper"类的"unserialize"方法，新建反射类并传入参数，其中类名与参数均由可控的"sort"变量决定。

       在CTF中，利用"__autoload"方法的错误使用，实现任意对象实例化。当"__autoload"方法不存在时，使用类似方法实现对象实例化，通过参数传递文件名和信息作为键名。

       strpos函数使用不当引发漏洞。在查找特殊符号时，当未找到指定字符时返回"false"，若第一个字符找到则返回"0"，利用此特性可以进行注入。

       DeDecms V5.7SP2中，用户密码重置漏洞允许任意密码修改。通过传入mid查询用户信息，当安全问题和答案不为空且匹配时执行sn函数，若未设置问题答案则安全问题为0，安全答案为null，使密码修改流程失效。

       在api.php的buy函数中，使用"=="比较操作符进行弱类型比较，传入7个true值实现绕过。

       在escapeshellarg与escapeshellcmd的不当使用中，通过构造字符串绕过转义规则，实现命令注入。

       在postcard中，通过filter_var()函数的缺陷，利用双引号嵌套转义空格和单引号双引号重叠，实现数据绕过检测，进行注入。

       在CmsEasy 5.5漏洞分析中，通过全局搜索和catid参数，寻找到可控制的配置项，利用eval函数执行恶意代码。

       RabbitMetinfo 6.0.0中，未恰当的exit导致程序逻辑异常，导致重装漏洞。

       在unserialize反序列化漏洞中，使用不当的unserialize方法，绕过数据类型检查，实现代码执行。

       在Typecho-1.1漏洞分析中，通过base解码和反序列化操作实现代码执行，关键步骤涉及session变量的判断和使用。

       深入研究preg_replace与代码执行，利用e模式修正符进行代码执行，通过构造特定参数绕过限制。

       DM企业建站系统中，存在ENT_NOQUOTES设置导致的注入漏洞。

       Turkey Baster实例中，利用addslashes过滤机制的绕过，通过构造特定类名实例化实现目标。

       在苹果CMS视频分享程序8.0漏洞分析中，直接拼接SQL语句，导致SQL注入，通过过滤和url解码操作实现注入。

       从变量覆盖到getshell的SnowmanDuomiCMS_3.0漏洞分析，通过全局变量覆盖实现shell注入。

       PHP反序列化漏洞学习中，讨论ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES设置，以及ereg、us--Tsai-A-New-Era-Of-SSRF-Exploiting-URL-Parser-In-Trending-Programming-Languages等关键概念与实践。