PHP安全編碼規(guī)范不可忽略
錄
- 1��、安全編碼的基本原則
- 1.1 所有輸入數(shù)據(jù)都是有害的
- 1.2 不依賴運行環(huán)境的安全配置
- 1.3 安全控制措施落實在最后執(zhí)行階段
- 1.4 最小化
- 1.5 失敗終止
- 二、 常見漏洞安全編碼
- 2.1 低版本框架����、庫漏洞
- 2.2 Command Injection
- 2.3 SQL Injection
- 2.4 XSS
- 2.5 CSRF
- 2.6 URL Redirect
- 2.7 路徑可控
- 2.8 Code Injection
- 2.9 Xpath Injection
- 2.10 資源泄露
- 2.11 XXE
- 2.12 SSRF
- 2.13 敏感信息泄露
- 2.14 越權(quán)漏洞
- 2.15 MongoDB Injection
- 2.16 弱類型漏洞
- 2.17 任意文件上傳
- 2.18 本地文件包含
- 2.19 并發(fā)問題
- 2.20 WebSocket跨站劫持
1、安全編碼基本原則
1.1 所有輸入數(shù)據(jù)都是有害的
直接輸入數(shù)據(jù):
對于用戶通過 GET, POST, COOKIE, REQUEST等輸入的數(shù)據(jù)以及框架提供的數(shù)據(jù)來源����,即通信協(xié)議中從客戶端傳過來的一切變量�����,無論是用戶手動填寫的數(shù)據(jù)或是客戶端瀏覽器或操作系統(tǒng)自動填寫的數(shù)據(jù)����,都可能產(chǎn)生安全問題��,需要進行嚴格的安全性檢查。
間接地輸入數(shù)據(jù):
從數(shù)據(jù)庫����、文件�����、網(wǎng)絡(luò)、內(nèi)部API獲取的數(shù)據(jù)等����,即一些不直接來源于用戶����,但是又不是程序中定義好的常量數(shù)據(jù)����。比如用戶的輸入經(jīng)過層層轉(zhuǎn)化輸出到數(shù)據(jù)庫或文件,后面又再次利用的時候,這時獲得的數(shù)據(jù)依然是不可信的,同樣需要進行嚴格的安全性檢查�����。
1.2 不依賴運行環(huán)境的安全配置
不能寄希望于配置文件的安全選項����,必須將程序置身于最不安全的配置下進行考慮。
1.3 安全控制措施落實在最后執(zhí)行階段
每個安全問題都有其產(chǎn)生的原因,例如SQL注入的原因是SQL語句參數(shù)拼接。因此對SQL注入問題的防范��,需要在SQL語句執(zhí)行前對參數(shù)進行安全處理�����,因為此時才能確定預(yù)期的參數(shù)數(shù)據(jù)類型、數(shù)據(jù)范圍等。
1.4 最小化
最小化原則適用于所有與安全相關(guān)的領(lǐng)域����,在代碼安全方面主要表現(xiàn)為:
1�����、用戶輸入最小化。盡可能少地使用用戶的輸入。
2�����、用戶輸入范圍最小化�����。過濾參數(shù)時應(yīng)使用白名單策略����,對于可明確定義范圍的參數(shù)檢查參數(shù)的有效性,譬如Email,卡號,身份證號等��。
3�����、返回信息最小化�����。程序錯誤信息應(yīng)對用戶屏蔽,不要將原始錯誤信息直接返回到用戶側(cè)�����。
1.5 失敗終止
對用戶提交的數(shù)據(jù)進行安全性檢查的時候����,如果發(fā)現(xiàn)數(shù)據(jù)不符合要求應(yīng)終止業(yè)務(wù)的執(zhí)行�����,不要試圖修正和轉(zhuǎn)換用戶提交的參數(shù)繼續(xù)向下執(zhí)行��。
二、 常見漏洞安全編碼
2.1 低版本框架��、庫漏洞
安全方法: 此類安全問題應(yīng)使用穩(wěn)定的高版本框架�����、庫進行開發(fā)�����。
2.2 Command Injection
安全方法: 無法規(guī)避此類功能時,應(yīng)使用白名單控制:
if(isset($_POST["target"]))
{
$target=$_POST["target"];
switch ($target) {
case "www.protect.domain": echo "" . shell_exec("nslookup www.protect.domain") . "";
break;
case "web.protect.domain": echo "" . shell_exec("nslookup web.protect.domain") . "";
break;
...
default: echo "" . shell_exec("nslookup www.protect.domain") . "";
}
}
2.3 SQL Injection
安全方法:
注意: 不論項目是否使用了框架�����,涉及到的表名����、字段名用戶可控時,均應(yīng)先使用白名單對此類數(shù)據(jù)進行處理:
switch ($order){
case "id": $order="id";
break;
case "name":$order="name";
break;
default :$order="id";
}
a�����、未使用框架時�����,可使用安全SDK項目提供的安全方法:
//查詢
$result=$this->db->select()->from("table_name")->where("id","=",$id)->execute()->fetchAll();
//刪除
$result=$this->db->delete()->from("table_name")->where("name","like","%".$name."%")->execute();
//插入
$result=$this->db->insert(array("name","age"))->into("table_name")->values(array($name,$age))->execute();
//更新
$result=$this->db->update(array("name"=> $name))->table("table_name")->where("id", "=", $id)->execute();
b、使用Yii��、laravel��、CodeIgniter框架時����,可使用框架自帶的數(shù)據(jù)庫訪問方法��。
Yii 2.0
//查詢
Users::find()->where(["id"=>$id])->orderBy("name")->select("id,name")->one();
//插入
$user=new Users();
$user->age=$age;
$user->name=$name;
$user->save();
//單條更新
$use=Users::find()->where(["id"=>$id])->orderBy("name")->select("id,name")->one();
$use->name=$name;
$use->save();
//多條更新
$result=Users::find()->where([">","id",$id])->orderBy("name")->select("id,name")->all();
foreach ($result as $item){
$item->name=$name;
$item->save();
}
//刪除
Users::deleteAll(["id"=>$id]);
Laravel
//查詢
DB::table("table_name")->where("id",$id)->orderBy("id")->get();
//插入
DB::table("table_name")->insert(["name"=> $name, "age"=> $age]);
//更新
DB::table("table_name")->where("id", $id)->update(["name"=> $name]);
//刪除
DB::table("table_name")->where("age", $age)->delete();
CodeIgniter
//查詢
$result=$this->db->select("*")->from("table_name")->where("userid", $userid)->order_by("id")->get();
//插入
$this->db->insert("table_name", array("title"=> $title, "userid"=> $userid));
//更新
$this->db->where("id",$id)->update("table_name", array("name"=> $title, "age"=> $age));
//刪除
$this->db->where("id", $id)->delete("table_name");
2.4 XSS
安全方法:
a��、用戶可控數(shù)據(jù)不需存儲直接響應(yīng)的,應(yīng)編碼輸出����。
// html實體編碼輸出
$this->securityUtil->encodeForHTML($data);
// javascript編碼輸出
$this->securityUtil->encodeForJavaScript($data)
b����、用戶可控數(shù)據(jù)需存儲展示或用于其他系統(tǒng)展示的,應(yīng)過濾危險字符����。
$this->securityUtil->purifier($_GET["data"]);
注意: 輸入過濾會改變用戶輸入����。應(yīng)結(jié)合具體業(yè)務(wù)場景搭配使用輸入過濾����、輸出編碼。
2.5 CSRF
安全方法:
前端應(yīng)從cookie中獲取在認證通過后植入的csrf_token����,并以POST方式提交包含csrf_token值的請求,前端代碼如下:
function getCookie() {
var value="; " + document.cookie;
var parts=value.split("; csrf_token=");
if (parts.length==2)
return parts.pop().split(";").shift();
}
$.ajax({
type: "post",
url: "/xxxx",
data: {csrf_token:getCookie()},
dataType: "json",
success: function (data) {
if (data.ec==200) {
//do something
}
}
});
后端應(yīng)從POST請求體中提取csrf_token參數(shù)值�����,進行校驗��,代碼如下:
if(!$this->securityUtil->verifyCSRFToken()){
return ; //csrf token 校驗失敗
}
// 開始處理業(yè)務(wù)邏輯
注意: 受csrf_token生成方式影響����,當(dāng)存在XSS時�����,會導(dǎo)致全局CSRF防護措施失效����。
2.6 URL Redirect
安全方法: 此類安全問題服務(wù)端應(yīng)根據(jù)具體的業(yè)務(wù)需求防止不安全的重定向:
a����、如果跳轉(zhuǎn)后的鏈接比較少且比較固定,那么可以在服務(wù)端對參數(shù)進行白名單限制�����,非白名單里面的URL禁止跳轉(zhuǎn)��。
$index=intval($_GET["index"]);
switch($index){
case 1: $url="https://www.protect.domain/";
break;
case 2: $url="https://web.protect.domain/";
break;
...
default: $url="https://web.protect.domain/";
}
header("Location:".$url);
當(dāng)鏈接比較多時��,可根據(jù)索引從數(shù)據(jù)庫檢索。
b�����、如僅希望在當(dāng)前域跳轉(zhuǎn)��,或因業(yè)務(wù)需要,跳轉(zhuǎn)的鏈接經(jīng)常變化且比較多�����,應(yīng)做個二次確認頁��,對非當(dāng)前域的鏈接����,提示用戶將跳轉(zhuǎn)到其他網(wǎng)站:
$white=[".protect.domain"];
//校驗是否為信任域
if(!$this->securityUtil->verifyRedirectUrl($url,$white)){
// 非信任域名����,提供二次確認頁
}
// 開始處理業(yè)務(wù)邏輯
2.7 路徑可控
安全方法: 無法規(guī)避外界指定路徑時,應(yīng)使用白名單處理:
$directory=$_GET["directory"];
switch ($directory) {
// $directory重新賦值
case "./image":$directory="./image";
break;
case "./page":$directory="./page";
break;
...
default:$directory="./image";
}
while($line=readdir($directory))
{
//do something
}
2.8 Code Injection
安全方法: 無法規(guī)避此類功能時,應(yīng)精確匹配用戶的提交數(shù)據(jù):
$name=strval($_POST["name"]);
$regex="/^[a-zA-Z0-9]{3,20}$/";
if(preg_match($regex,$name,$matches) && $matches[0]===$name)
{
eval ("echo '" . $name . "';");
}
2.9 Xpath Injection
安全方法: 此類安全問題應(yīng)精確匹配用戶輸入:
if(isset($_POST["login"]) && $_POST["login"]){
if(isset($_POST["password"]) && $_POST["password"]){
$login=strval($_POST["login"]);
$password=strval($_POST["password"]);
$xml=simplexml_load_file("./heroes.xml");
$regex="/^[a-zA-Z0-9]{3,20}$/";
if(preg_match($regex,$login,$match_login) && $match_login[0]===$login){
if(preg_match($regex,$password,$match_password) && $match_password[0]===$password){
$result=$xml->xpath("/heroes/hero[login='" . $login . "' and password='" . $password . "' ]");
//業(yè)務(wù)邏輯
}
}
}
}
2.10 資源泄露
安全方法: 此類安全問題應(yīng)在相關(guān)操作完成后釋放資源:
$file=fopen("file.txt", "w") or die("Unable to open file!");
...
//關(guān)閉由fopen()函數(shù)打開的文件
fclose($file);
2.11 XXE
安全方法: 此類安全問題應(yīng)在解析XML數(shù)據(jù)時顯式禁止加載外部實體:
//禁止加載外部實體
libxml_disable_entity_loader(true);
//解析xml數(shù)據(jù)
$xml=simplexml_load_string($data);
2.12 SSRF
安全方法: 應(yīng)校驗傳入ip地址是否為內(nèi)部ip:
if (!$this->securityUtil->verifySSRFURL($url)) {
return ; //內(nèi)部ip
}
//開始處理業(yè)務(wù)邏輯
2.13 敏感信息泄露
安全方法: 此類安全問題應(yīng)在代碼上線之前刪除注釋信息(特別是敏感信息),合理設(shè)置忽略文件:
a��、gitlab/github
根據(jù)目錄新建文檔 .gitignore�����,內(nèi)容可參考.gitignore
b��、SVN
新建文檔.svnignore,內(nèi)容可參考.gitignore,執(zhí)行:
- svn propset svn:ignore -R -F .svnignore .
注意: 當(dāng)使用add的時候,禁止使用:
- svn add *
這樣會把忽略中的文件也添加到倉庫�����。應(yīng)使如下命令:
- svn add --force .
2.14 越權(quán)漏洞
安全方法: 涉及到用戶數(shù)據(jù)的增刪改查,應(yīng)校驗數(shù)據(jù)歸屬:
$articleId=$_GET["articleId"];
//用戶登錄狀態(tài)下,從session取出用戶唯一標(biāo)識userid
$userId=session("userId");
...
//關(guān)聯(lián)用戶信息執(zhí)行數(shù)據(jù)庫操作
$stmt=$db->prepare("UPDATE articles SET del_flag=1 WHERE articleId=? AND userId=?");
$stmt->bind_param("ss",$articleId, $userid);
$stmt->execute();
2.15 MongoDB Injection
安全方法:
涉及到MongoDB的操作�����,應(yīng)禁用execute方法�����,校驗數(shù)據(jù)類型:
$appId=$this->request->post("appId");
$num=$this->request->post("num");
...
//校驗數(shù)據(jù)類型
if(!is_array($appId)&&!is_array($num))
{
$criteria=["appId"=> $appId, "num"=> $num];
$ret=$this->mongodb->findOne($criteria);
}
預(yù)期數(shù)據(jù)類型明確的(如商品數(shù)量),應(yīng)在接收用戶提交數(shù)據(jù)時直接強制數(shù)據(jù)類型轉(zhuǎn)換,避免因校驗不嚴謹可能帶來的其他問題����。
2.16 弱類型漏洞
安全方法:
注意:
a�����、涉及多字符串拼接進行md5運算時,應(yīng)在各拼接字符串之間添加分隔符:
- //避免md5("1234"."14"."234")===md5("1234"."1"."4234")
- md5($secret . "|" . $uid . "|" . $code);
b����、涉及到函數(shù)返回結(jié)果既可能是布爾值(FALSE)�����,也可能是等同于布爾值(FALSE)的非布爾值且返回結(jié)果用于判斷時,需顯式判斷執(zhí)行結(jié)果
以內(nèi)置函數(shù)strpos為例:
- int strpos ( string $haystack , mixed $needle [, int $offset=0 ] )
該函數(shù):
1)返回$needle在$haystack中首次出現(xiàn)的數(shù)字位置�����;
2)未找到時返回布爾值FALSE�����;
3)當(dāng)$needle在$haystack起始位置出現(xiàn)時�����,會返回0.
則安全編碼應(yīng)為:
$domain="https://www.protect.domain";
//禁止 if(!strpos($domain,"https")) 或 if(strpos($domain,"https")!=false)的方式
if(strpos($domain,"https")!==false){
//處理業(yè)務(wù)邏輯
}
此類安全問題應(yīng)使用===代替==, !==代替 !=。
if (isset($_GET["id"]) && isset($_GET["userId"])) {
$id=strval($_GET["id"]);
$userId=strval($_GET["userId"]);
//防止出現(xiàn) md5("240610708")==md5("QNKCDZO")
if (md5($id) !==md5($userId)) {
return ;
}
//業(yè)務(wù)邏輯
}
2.17 任意文件上傳
安全方法: 此類安全問題應(yīng)校驗上傳文件大小�����、后綴��、類型等是否符合要求:
$config=array('limit'=>5 * 1024 * 1024, //允許上傳的文件最大大小
'type'=>array( //允許的上傳文件后綴及MIME
"gif"=>"image/gif",
"jpg"=>"image/jpeg",
"png"=>"image/png")
);
$file=$_FILES["file"];
$data=$this->securityUtil->verifyUploadFile($file, $config);
if($data['flag']!==true){
return; //上傳失敗
}
//生成新的文件名拼接$data['ext']上傳到文件服務(wù)器
2.18 本地文件包含
安全方法: 無法規(guī)避外界指定文件名時,應(yīng)使用白名單處理:
$filename=$_GET["filename"];
switch ($filename) {
case "lfi.txt":include("./lfi.txt");
break;
...
default:include("./notexists.txt");
}
2.19 并發(fā)問題
安全方法:
php+mysql(InnoDB����、REPEATABLE-READ)
此類安全問題在已使用事務(wù)的前提下��,應(yīng)使用悲觀鎖或樂觀鎖解決:
悲觀鎖:
mysqli_query($conn, "BEGIN");
$rs=mysqli_query($conn, "SELECT num FROM oversold WHERE id=1 FOR UPDATE "); //for UPDATE
$row=mysqli_fetch_array($rs);
$num=$row[0];
if($num>0)
{
//do something
mysqli_query($conn, "UPDATE oversold SET num=num - 1 WHERE id=1");
}
if(mysqli_errno($conn)) {
mysqli_query($conn, "ROLLBACK");
} else {
mysqli_query($conn, "COMMIT");
}
mysqli_close($conn);
SELECT … FOR UPDATE加悲觀鎖,保證總是獲取最新的數(shù)據(jù),適合寫入頻繁的場景.
樂觀鎖:
需使用一個新的字段version保存版本號:
mysqli_query($conn, "BEGIN");
$result=mysqli_query($conn, "SELECT num,version FROM oversold WHERE id=1 ");
$row=mysqli_fetch_array($result);
$num=$row[0];
$version=$row[1];
if($num>0)
{
//do something
$stmt=$conn->prepare("UPDATE oversold SET num=num - 1,version=version+1 WHERE id=1 AND version=? ");
$stmt->bind_param("i",$version);
$stmt->execute();
}
if(mysqli_errno($conn)) {
mysqli_query($conn, "ROLLBACK");
} else {
mysqli_query($conn, "COMMIT");
}
mysqli_close($conn);
樂觀鎖比較適合數(shù)據(jù)修改比較少,讀取比較頻繁的場景��。
注意: 悲觀鎖會帶來比較大的性能開銷��,而樂觀鎖可能會讀取到臟數(shù)據(jù)�����,具體采用哪種加鎖方式可根據(jù)具體業(yè)務(wù)場景確定。
php+redis
當(dāng)redis版本不小于2.6.12時��,應(yīng)使用set指令限流避免并發(fā)問題����。set指定用法如下:
- redis > SET KEY VALUE [EX seconds] [PX milliseconds] [NX|XX]
- ● EX seconds - 設(shè)置指定的過期時間,單位為秒�����。
- ● PX milliseconds - 設(shè)置指定的過期時間��,單位為毫秒�����。
- ● NX - 僅當(dāng)KEY不存在時,設(shè)置KEY的值為VALUE。
- ● XX - 僅當(dāng)KEY存在時�����,設(shè)置KEY的值為VALUE����。
代碼示例:
$res=$redis->set($key, $value, ["nx", "px"=>$ps]);
if(!$res){
throw new Exception("操作太快了,請稍后再試!");
}
- //開始處理業(yè)務(wù)邏輯
以上代碼�����,在$ps毫秒內(nèi)����,對指定的$key,僅允許執(zhí)行一次業(yè)務(wù)邏輯��。
注意: 涉及到的key應(yīng)結(jié)合具體業(yè)務(wù)場景注意key過期時間的設(shè)置�����,防止key的膨脹����。
2.20 WebSocket跨站劫持
安全方法: 此類安全問題服務(wù)端應(yīng)校驗Origin頭:
2大類206個副業(yè)兼職賺錢APP送給你����,根據(jù)你自身特長和愛好挑選適合你自己的副業(yè)!
下面內(nèi)容我花了3天的時間整理,匯總了全網(wǎng)最全的206個副業(yè)兼職賺錢APP��,可以說囊括了絕大部分的可能性����,每天多賺一些零花錢輕輕松松。
墻裂建議先雙擊再細看!?���。?/p>
體力類
如果你想靠自己的體力來獲取酬金����,你就是屬于體力類�����,比如跑腿、送外賣、送快遞�����、搬磚等等����。
勞動最光榮,無謂體力還是智力����,憑本事掙錢��,沒什么不好意思的。
只要愿意干�����,就會有收入����。
1.UU跑腿:https://www.uupt.com/Driver.htm
?
2.點我達騎手:https://www.dianwoda.com/rider.html
3.達達騎士:https://www.imdada.cn/transporter/
4.愛跑腿:https://www.ipaotui.com/index.php?m=Home&c=IndexFourth&a=runner
5.人人快送:http://www.rrkd.cn/
6.美團跑腿:http://i.meituan.com/peisong/
7.微差事:http://www.weichaishi.com/customer.php
8.蜂鳥眾包:https://fengniao.ele.me/delivery.html 《手把手教你使用蜂鳥眾包:https://jingyan.baidu.com/article/b2c186c8b88ccc846ff6ff1c.html》
拍照類
這和體力類類似,主要是拍一些門店或街道�����,完成任務(wù)后獲得平臺的獎勵��。
9.百度地圖淘金:http://taojin.baidu.com/
?
10.高德地圖淘金:https://gxd.amap.com/
11.美團拍店
12.企鵝匯圖
問卷調(diào)查類
通過回答問卷,獲得積分��,積分可以兌換現(xiàn)金和禮品�����。操作簡單門檻低����,手機即可操作,特別適合新手小白去操作��。
13.投吧:https://www.votebar.com/
14.集思網(wǎng):https://www.opinionworld.cn/zh-cn
15.調(diào)研吧:http://www.diaoyanba.com/
16.第一調(diào)查網(wǎng):https://www.1diaocha.com/
17.YouGov:https://china.yougov.com/zh/
18.易調(diào)網(wǎng):http://www.yidiao.net/
19.愛調(diào)查:http://www.52survey.com/
任務(wù)類
任務(wù)類�����,顧名思義����,任務(wù)比較簡單��,難度系數(shù)低�����,適合新手小白,但和問卷調(diào)查一樣����,收益有限�����,略高于問卷類��,奶茶自由可實現(xiàn)��。
做任務(wù)類的副業(yè)比較簡單,沒什么難度����,也適合所有人�����,不過收益也有限,每天能賺個幾十塊錢��。
20.龍貓眾包:http://renwu.longmaosoft.com/task/team
21.百川任務(wù):http://www.baichuanweb.com/
《百川任務(wù)平臺的任務(wù)怎么做教程:https://jingyan.baidu.com/article/fec4bce28499c2f2618d8b9a.html》
22.騰訊搜活幫:https://soho.qq.com/tasks
23.有道眾包:http://zb.youdao.com/list.html
《如何利用有道眾包賺錢教程:https://jingyan.baidu.com/article/7082dc1cd9989fe40a89bd3a.html》
24.百度眾測:http://test.baidu.com/mark/task/index
《百度眾測操作教程教程:https://jingyan.baidu.com/article/456c463bb65fe24a583144ce.html》
教你玩轉(zhuǎn)百度眾測
25.阿里眾包:https://newjob.taobao.com/ 《如何利用阿里眾包賺錢教程:https://jingyan.baidu.com/article/e5c39bf5713c5979d760338b.html》
26.京東微工:http://weigong.jd.com
《怎么在京東微工做兼職教程:https://jingyan.baidu.com/article/ab69b2701705966ca6189f57.html》
推廣類
這個副業(yè)是推薦商品賺取傭金����,最高返傭可以達到54%。也就是說一個單價100的商品��,通過你的推廣買家購買后�����,你能獲得54元的傭金����。
就像我們平時在知乎上見到的��,撿漏群�����,一元秒殺群都是屬于推廣類����。
?
27.淘寶聯(lián)盟https://pub.alimama.com/
28.京東聯(lián)盟https://union.jd.com/index
29.多多進寶https://jinbao.pinduoduo.com/
30.知乎好物
我們平時在知乎寫問答,可以帶上商品鏈接,有人拍下商品我們就能賺1%-50%的商品傭金��。一般爆了一個回答��,你在往后很長一段日子里都能拿到不錯的傭金����。
程序技術(shù)類
程序技術(shù)類比較適合會程序設(shè)計方面的新手����,有些小伙伴可能之前只是自己埋頭苦練功法����,從未思考過利用自己的電腦技術(shù)進行副業(yè)賺錢����。可以去學(xué)院當(dāng)老師,或者接單賺外快����。
31.微擎:https://dev.w7.cc
32.CSDN學(xué)院:https://edu.csdn.net/apply
33.云沃客:https://www.clouderwork.com/guide/freelancer
34.51CTO學(xué)院:https://edu.51cto.com/lecturer/lectopics?edunav
35.程序員客棧:https://www.proginn.com/job/?from=top_nav
36.碼市眾包:https://www.codemart.com/
37.解放號:https://www.jfh.com/jfportal/market/index
38.互站網(wǎng):https://task.huzhan.com
39.碼易眾包:https://www.mayigeek.com/tab/taskList?type=&price=&bidEnd=
40.開源中國眾包:https://zb.oschina.net/services/excellent-dev.html
41.麥子學(xué)院:http://www.maiziedu.com/login.html
42.猿急送:https://www.yuanjisong.com/job
攝影類
攝影�����,是賣自己拍的圖片賺錢,這個需要懂一些專業(yè)技術(shù)��。如果你正好對攝影感興趣��,那是最好不過的了����。
43.fotor:https://www.fotor.com.cn/
44.picpas:http://www.picpas.com/
45.中國圖庫:https://www.tukuchina.cn/
46.銳景創(chuàng)意:https://www.originoo.com/
47.視覺中國:https://www.vcg.com/
48.美好景象:http://www.viewstock.com/
49.全景圖片:https://www.vcg.com/
50.匯圖:http://www.huitu.com/
51.壹圖:https://www.1tu.com/
52.東方IC:https://www.icphoto.cn/
53.海洛創(chuàng)意:https://www.hellorf.com/
攝影師一個不錯的兼職��,現(xiàn)在寫文案以及做設(shè)計都需要用到圖片,你的作品質(zhì)量好����,還會有商家專門找你拍攝照片��,也會有公司設(shè)計需要用到你的照片,會需要你的圖片版權(quán)�����。
一套圖�����,賺個幾百塊肯定沒問題�����,技術(shù)夠硬的話,客戶還會推薦客戶�����,一月賺個幾百幾千的收入����,輕松不費力氣。
電商類
依靠平臺賺錢�����,可以面向更多用戶��。電商類副業(yè)相對于線下實體試錯成本更小
54.微店
55.淘寶
56.天貓
57.京東
58.抖音小店
59.拼多多
60.閑魚
61.轉(zhuǎn)轉(zhuǎn)
62.跨境電商
63.亞馬遜
64.ebay
電商就是賣貨的,百貨對百人��。
向一些大類目��,女裝����、鞋包競爭非常大�����。我們普通人想做電商����,就要去探索小眾剛需藍海產(chǎn)品����,在紅海市場找藍海����,產(chǎn)品細分才是我們脫穎而出的機會�����。
翻譯類
翻譯就是通過自己的英語水平�����,利用自己的翻譯能力去換取一定的翻譯酬金。
會一門語言不僅能在職場加分����,還能為我們帶來更多可能性!現(xiàn)在很多翻譯平臺都有在招兼職翻譯��。
65.人人譯:http://www.renrenyee.com/
?
短任務(wù)類型����,一般都是幾分鐘的,有手機端軟件,實現(xiàn)奶茶自由還是挺不錯的����。
66.有道人工翻譯https://f.youdao.com/joinus/
?
以英語翻譯居多����,中譯英和英譯中收入不一樣�����,工作時間有一定規(guī)定����,適合學(xué)生��。
看清楚是有道人工翻譯����,不是有道云翻譯��,只有有道人工翻譯在招兼職�����。
67.做到網(wǎng)https://www.zuodao.com/crowdsourcing/homePage.html
?
比較適合新手翻譯,在翻譯過程中,會有上下文和參考譯法作為輔助,比較人性化��。不過入住需要測試��。
68.我譯網(wǎng) https://www.wiitrans.com/translator
?
平臺收取中介費不高,且任務(wù)的單價比較高��,也是需要測試�����。
69.Gengo:https://gengo.com/translators/
?
同樣需要測試��,根據(jù)測試成績分為標(biāo)準譯員和專業(yè)譯員,翻譯內(nèi)容一般都是短文本����。根據(jù)官網(wǎng)數(shù)據(jù)顯示翻譯平均每月能掙4美元��。
70.譯喵網(wǎng)
71.金譯通網(wǎng)
72.語富網(wǎng)app
73.譯客
74.快譯網(wǎng)
75.語翼-譯員端
76.Trycan
77.Fiverr
78.Fiberead
翻譯任務(wù)相對都會輕松簡單,不僅可以鍛煉自己的外語水平,工作時間十分靈活�����,學(xué)習(xí)與賺錢同步進行�����。
它的收益有千字50����,也有千字200-300的,各平臺不一致,傭金一般不高但可以積少成多。
音頻類
利用自己的聲音開始副業(yè)�����,聲音比較好的小伙伴比較適合����,很多平臺都有入住入口����。比如配音、電臺主播�����、有聲小說����。
79.豆瓣-配音小組
80.網(wǎng)易云音樂平臺
81.配音秀
82.中國配音網(wǎng)
83.配音圈
84.企鵝FM
85.荔枝FM
86.音頻
87.喜馬拉雅FM
88.懶人聽書
在這上邊就可以看到各種各樣的配音任務(wù)和兼職了,通過在一些APP上給視頻、文章、小說、配音賺取稿費��。
你要做的就是念稿子配音����,需要普通話標(biāo)準,把對方給你的稿件完整念完就可以了����。
字數(shù)不會很多��,每篇幾百字而已。一條錄音的價格在5-10元之間��,熟練后做一單十分鐘左右��,這種錄音賺錢的平臺有很多�����,所以不用愁接不到單子。
外賣cps類
外賣大家經(jīng)常點�����,但很多人不知道��,推廣外賣也能賺傭金。外賣CPS已經(jīng)火了一段時間了����,很多商家都在做�����。點外賣已經(jīng)成了剛需,對用戶來說��,領(lǐng)取紅包下單能省不少錢����,為什么不呢?偶爾還能領(lǐng)到大紅包�����,比如20-18����。
對推廣者來說,一單能賺3~15����。一個人可以給你帶來多次收入����,有不少人專門做了個公號,不僅把粉絲聚集起來了��,每天躺賺幾百幾千的簡直不要太香�����。
大家應(yīng)該見過不少這種類似的吧!
?
89.餓了么外賣賞金
90.美團
短視頻類
短視頻的優(yōu)勢在于賺錢的機會特別多,也是未來的一種趨勢。任何生意拿到短視頻�����,都可以再做一遍����。
變現(xiàn)方式也很多,可以直播帶貨變現(xiàn)��,直播娛樂變現(xiàn)�����,短視頻引流變現(xiàn)��,廣告變現(xiàn)等。
91.虎牙
92.微信視頻號
93.抖音
94.全民小視頻
95.騰訊微視
96.斗魚
97.快手
98.B站
99.小紅書
100.知乎
現(xiàn)在很多平臺都在大力扶持短視頻��,包括知乎也推出了視頻功能����,鼓勵創(chuàng)作者往視頻方向發(fā)展,未來這一趨勢會更加明顯。
做好短視頻除了內(nèi)容質(zhì)量優(yōu)質(zhì)����,還和運氣有點關(guān)系��,我們要做的是堅持創(chuàng)作,等待1%的運氣降臨。
做短視頻和做自媒體一樣����,前期特別難熬����,因為堅持的過程是非?����?菰锏模捌趧e說賺錢了,可能都不會有人點贊��。
((比如我的這篇花了一周時間總結(jié)的又臭又長的回答����,萬一沒人點贊,我真的要哭暈在廁所)其實這也就是為什么很多人放棄的原因����。短視頻這條路不擁擠�����,看的是誰更加努力、更熬得住寂寞)
編程類
編程類的優(yōu)秀人才很稀缺����,一般工資都很高�����,編程學(xué)會了不僅能有高工資,作為副業(yè)也是很有價值的�����。
學(xué)編程同學(xué)的可以嘗試通過這些平臺接兼職賺外快��。要注意急單不要接����,具體需求不清不楚的不接����。沒預(yù)付的不接。
101.微擎
102.程序員客棧
103.開源眾包
104.碼易
105.云沃客
106.猿急送
107.解放號
108.碼市
109.互站網(wǎng)
每個平臺都有自己的特點�����,大家可以每個都試試����,選擇最適合自己的來兼職。最后切記沒有金剛鉆����,不攬瓷器活�����。
駕駛類
駕駛類可細分兩大類:
代駕類
陪練類
這兩大類的市場都不小,
駕駛類是很多人下班后會選擇增加收入的途徑����,有的人晚上在外面吃飯喝了酒沒辦法開車����,就會選擇叫代駕��,很多餐飲酒店在前臺都會放置代駕的名片����,方便客人選擇
110.滴滴代駕
111.e代駕
112.安師傅代駕
113.斑馬代駕
汽車陪駕在歐美是事實必備項目��,國內(nèi)沒有普及,其實陪駕是唯一能教你學(xué)會開車的方式�����。很多人除了去陪練APP找陪練����,還有去淘寶、閑魚找陪練的����。
114.58陪練
115.陪練車
116.駕校一點通陪練
設(shè)計類
就是你恰好會PS��、CAD、3dmax����、AI�����、AE等設(shè)計類軟件上有一定的基礎(chǔ)和造詣,利用自己的設(shè)計作品或簽約設(shè)計平臺來進行副業(yè)賺錢。其中包括設(shè)計logo�����、表情包
117.FOTOR
118.云琥在線
119.阿里巴巴矢量圖標(biāo)庫
120.開三云匠網(wǎng)
121.扁平圖標(biāo)
122.包圖網(wǎng)
123.小米主題商店
124.視覺中國
125.千圖網(wǎng)
126.昵圖網(wǎng)
127.東方IC
128.中國圖庫
129.圖蟲
130.匯圖網(wǎng)
131.覓元素
132.花瓣網(wǎng)
133.微信表情開放平臺
134.攝圖網(wǎng)
135.豬八戒
136.picpas
137.海洛創(chuàng)意
如果你是設(shè)計師或者作圖愛好者那就不要錯過了����,作品上傳上去后有需要的用戶會付費下載。這個重點是是長期積累的��,當(dāng)你的作品積累到一定數(shù)量����,后面就能躺賺了�����。
PS:淘寶上代做PPT�����;企業(yè)視頻介紹�����,婚禮視頻,店鋪招牌設(shè)計,單頁,LOGO設(shè)計����,設(shè)計動畫圖像等銷量都很好�����,且大部分可以用軟件模板,Ai完成,兩三分鐘一個圖或視頻��。
PPT設(shè)計類
ppt在設(shè)計軟件中算是最好學(xué)的了��,并且市場特別大����,不管是工作還是學(xué)習(xí)都離不開PPT��。
變現(xiàn)方式也多樣化�����,我們可以將自己設(shè)計的模板上傳到網(wǎng)站上獲得收益����。
138.演界網(wǎng)
139.變色龍
140.腳步網(wǎng)
141.咸魚
142.pptstore
143.稻殼兒網(wǎng)
除了這些網(wǎng)站,也可以直接帶上幾份作品找淘寶店家談兼職合作����,一般都會有外包����。
制作PPT的服務(wù)費也不便宜��,最少10元一張ppt�����,20張就是兩百塊了。
不論現(xiàn)在還是以后��,做PPT都是極具性價比的一個技能��,做PPT也不是什么難事�����。
如果你還不會做PPT,也可以找課程學(xué)習(xí)��,邊做邊學(xué)��,學(xué)習(xí)一兩周就可以上手了��,早點學(xué)會用來賺點零花錢。
知識付費
知識付費隨著大家的付費意識提升��,這個市場也是越來越大的��,一份時間可以創(chuàng)作多份收益��,屬于前期辛苦��、后期躺賺的副業(yè)類型�����。
如果你在某個細分領(lǐng)域有一定的專業(yè)性,可以嘗試做自己的個人IP�����,通過分享自己的課程來賺取一定的副業(yè)收入�����。
開課收徒吧老師們
144.千聊
145.唯庫
146.淘寶教育
147.荔枝微課
148.知乎live
149.騰訊課堂
150.小鵝通
151.網(wǎng)易云課堂
152.知識星球
在以上平臺��,注冊成為講師��,上傳講課視頻就可以賺錢,好多人不知道講什么�����。
講word操作�����、講ppt制作��、講職場經(jīng)驗、講管理這些都可以��,或者是分享你擅長的領(lǐng)域����,錄制成為課程都可以����。
手工類
這類副業(yè)雖然比較小眾,但喜歡手工的人一般都愿意花高價去購買。從事手工副業(yè)一般都是從興趣出發(fā),沒有興趣很難支撐你去花時間做出不錯的手工��。
153.涂鴉王國
154.dribble
155.閑魚
在閑魚上手工粉非常多��,是個特別棒的平臺��。同時我們在制作過程中,把制作過程和制作方法經(jīng)驗通過短視頻去分享出去,這樣也能吸引別人過來購買。
文檔類
文檔類是靠上傳原創(chuàng)資源賺錢。上傳資料到文檔,別人下載就能賺取收益�����。文檔類需要時間積累��,量變引起質(zhì)變�����,時間長了能有睡后收入。
156.豆丁文庫
157.百度經(jīng)驗
158.道客巴巴
159.百度文庫
160.360doc個人圖書館
以上網(wǎng)站可以上傳你的原創(chuàng)內(nèi)容供人下載����,根據(jù)內(nèi)容的質(zhì)量設(shè)置不同的價格�����。
用過付費下載的都應(yīng)該知道,很多資料的質(zhì)量其實很一般,但是由于急需并且只能預(yù)覽前幾頁,付費的人還是挺多的。
一般幾塊到幾十塊的比較多��。你在學(xué)習(xí)中整理的文檔����、論文、PPT都可以上傳。收益=付費下載量*單價。
問答類
通過回答問題來換取平臺收入或打造個人IP����。
161.百度知道合伙人
162.悟空問答
163.知乎
164.在行
165.360問答
投稿寫作類
不要高估寫作的難度,也不要低估寫作的市場��。
大到雜志出版社��,小說專業(yè)文獻�����。小到知乎問答,公眾號文章朋友圈文案。
都有著不少的機會需求��。
投稿寫作類有三種:
網(wǎng)絡(luò)小說寫作
寫手類網(wǎng)站
拆書稿�����、主播素材稿��、聽書稿
1.網(wǎng)絡(luò)小說寫作
166.起點中文網(wǎng):作家專區(qū)https://write.qq.com/?siteid=1
167.縱橫中文網(wǎng):作家專區(qū)http://author.zongheng.com/nzh/login
168.17K小說網(wǎng):作家專區(qū)https://author.17k.com/
169.晉江文學(xué)城:作家專區(qū)http://www.jjwxc.net/authorlist.php
170.創(chuàng)世中文網(wǎng):作家專區(qū)https://write.qq.com/?siteid=3
171.瀟湘書院:作家專區(qū)http://author.xxsy.net/Login.aspx?r=http%3a%2f%2fauthor.xxsy.net%2fdefault.aspx
2.寫手類網(wǎng)站
172.稿稿
173.中國賞金寫手網(wǎng)
174.豆瓣稿費銀行
175.天使領(lǐng)域浮云殿
176.中國寫手之家
178.易稿
179.手機APP平臺
180.網(wǎng)易蝸牛讀書
181.湯圓創(chuàng)作
182.每天讀點故事
183.壹寫作
184.簡書
3.拆書稿、主播素材稿��、聽書稿
所謂拆書稿��,是指將一本圖書拆成10-15篇文章�����,使得讀者能夠更好的閱讀��。按照作品質(zhì)量,可以得到2500~8000的收入。
185.壹心理
186.慈懷讀書會
187.樊登讀書會
188.有書
189.豆瓣小組
190.夜讀
191.阿里讀書
192.365讀書
193.蝸牛讀書領(lǐng)讀人
194.十點讀書會
自媒體類
所謂自媒體,就是利用平臺來打造一定的個人品牌來形成長久的收入管道����,或者利用平臺來賺取平臺的流量費用�����。
2021年了�����,是時候打造一個個人IP了�����,同時也是復(fù)利很強的一種副業(yè)模式,但需要你堅持輸出�����,堅持做下去����。
195.知乎
196.大魚號
197.簡書
198.小紅書
199.微信公眾號
200.百家號
201.趣頭條
202.豆瓣
203.
204.企鵝號
205.微博
206.搜狐號
做自媒體前期比較困難,沒人看��,沒人關(guān)注�����,短期內(nèi)見不到錢��。很難去堅持下來,但這類副業(yè)一單做好了��,后期不管是賺錢還是其他的�����,對于個人來收獲都是巨大的�����。
在家能做的兼職副業(yè)非常多����,兼職可以作為自己的跳板,但是我更建議大家培養(yǎng)一門副業(yè)��,做個長期主義者��,學(xué)習(xí)一個技能或者去嘗試能力型副業(yè)�����,前期可能賺不到錢,但是相信未來帶給你的價值是不一樣的�����。
而學(xué)習(xí)一個技能通過技能賺錢是比較穩(wěn)的賺錢方式����,隨著技能水平的提升收入也是不斷提升的。
做了有錢����、停下就沒錢的兼職項目����,最多只能解決燃眉之急(大部分也不行),如果不是萬不得已��,大家盡量還是多嘗試一些有門檻����、有挑戰(zhàn)的副業(yè)。建立自己的管道收入��,停下來也有錢賺才是真正賺錢的意義��。
如果你覺得這篇文章對你有所啟發(fā),點個關(guān)注與贊就行����,我收獲了鼓勵��!
續(xù)整合一些免費開源資源。
1����、LibreOffice
有用戶問辦公套件如果不想用正版不便宜的微軟Office或者廣告很多的金山WPS��,還有沒有其它免費選擇。有的����!其實辦公套件有不少開源免費的版本�����,而其中【LibreOffice】自由開源的辦公套件優(yōu)秀代表,它一樣支持數(shù)據(jù)導(dǎo)入和導(dǎo)出功能,并且能直接導(dǎo)入PDF文檔��、微軟Works�����、LotusWord����,支持主要的OpenXML格式�����,也就是說是直接兼容主流的辦公套件的,包含6大組件:LibreOffice文本文檔、LibreOffice電子表格����、LibreOffice演示文稿�����、LibreOffice公式、LibreOffice繪圖�����、LibreOffice數(shù)據(jù)庫��。也就是對應(yīng)微軟Office的Word��,Excel,ppt等套件�����。
【LibreOffice】支持持Windows����、Mac、Debian��、Ubuntu幾大平臺����,免費又無廣告,實際上它是功能上最接近微軟Office的開源辦公套件了。
2��、FreeCAD
提到CAD制作軟件����,我想大部分第一時間會想到Autodesk家那款大名鼎鼎的【AutoCAD】,在CAD這種專業(yè)領(lǐng)域真的是強悍��,當(dāng)然正版價格也是不菲����,一年授權(quán)費用是 8000+ 元人民幣,你沒看錯����,是一年��。
當(dāng)然,這種正版專業(yè)軟件一般是企業(yè)單位購買給員工使用�����,普通用戶一般不會去購買��。不過如果有需求��,也可以用一款開源免費的CAD制作軟件【FreeCAD】,它擁有強大的幾何內(nèi)核OpenCasCade����,允許在復(fù)雜的形狀類型上執(zhí)行復(fù)雜的 3D 操作��,原生支持這些概念:多重曲面 (brep)、非均勻有理B樣條 (nurbs curves) 和 曲面 (surfaces)����,大量幾何實體 (geometric entities)��,布爾操作 (boolean operations) 和圓角 (fillets) 和內(nèi)建支持 STEP 和 IGES 格式。還能兼容Open Inventor的模型硬幣3D庫�����,同時還提供豐富的PythonAPI接口�����,方便用戶構(gòu)建各種自助模塊。
基本上CAD制作中你需要到的功能【FreeCAD】都有提供��,盡管界面沒有【AutoCAD】那么好看�����,但功能是能夠滿足普通用戶使用的����。
3��、CopyQ
如果是從事平時需要大量文字編輯工作的用戶來說����,系統(tǒng)自帶的剪切板一定非常常用��,鍵盤上的Ctrl+C�����,Ctrl+V一定非常耍得非常6。但系統(tǒng)自帶的剪切板只能記錄最新的剪切����,并沒有記錄以前的復(fù)制粘貼內(nèi)容��。那么既有開發(fā)者開發(fā)了可以無限記錄剪切板內(nèi)容的工具。
【CopyQ】便是這樣一款剪貼板增強管理工具����,而且是開源免費����。它可以將復(fù)制��、剪切的項目以標(biāo)簽的形式攤開�����,通過標(biāo)簽化的界面來實現(xiàn)多重管理剪貼板項目,方便我們選取操作,而且不止文字��,還有圖像格式�����、以及其他自定義的存儲格式��。管理方面,你可以自定義進行排序、創(chuàng)建、編輯、刪除��、復(fù)制�����、粘貼����、拖放項目�����,通過快捷鍵和托盤圖標(biāo)可以非常便捷地進行粘貼操作�����。
編輯前還可以自定義文字的字體和大小����,很方便了。
4����、File Converter
《File Converter》是一款免費開源功能強大的萬能文件轉(zhuǎn)換器����,這款軟件可以集成到你的右鍵功能菜單中����,不管你想要轉(zhuǎn)換什么格式的文件都可以通過這款工具直接右鍵轉(zhuǎn)換。如果你經(jīng)常有文件格式轉(zhuǎn)換的需求��,這款工具絕對是你的不二選擇��,支持的格式實在太多了��。
使用說明:
使用方式非常簡單,安裝完畢之后�����,直接對著你要轉(zhuǎn)檔的檔案按下右鍵����,找到file converter 就能夠直接選擇要轉(zhuǎn)檔的格式?���?赊D(zhuǎn)檔的文件類型包含:音樂��、影片、文件��、圖片等通通都沒問題����。也同時選擇多個檔案批次轉(zhuǎn)檔��。
5�����、Koodo Reader
【Koodo Reader】是一個免費干凈無廣告的桌面電子書本地閱讀器��,支持閱讀的格式非常多,包括epub, pdf, mobi, azw3, txt, md, djvu, docx, rtf, cbz, cbr, cbt, fb2, html 和 xml 等格式的電子書��,幾乎可以說是涵蓋了主流的電子書格式了����,只要你下載在本地上,直接導(dǎo)入到【Koodo Reader】打開閱讀即可����。
【Koodo Reader】整體的界面設(shè)計還是挺養(yǎng)眼的�����,干凈也沒有什么花里胡哨的功能,背景����,文字大小顏色等均可自定義�����。另外如果你的電腦支持觸屏操作,還可以在設(shè)置中打開觸控模式��,就可以享受與移動端一致的翻閱體驗了����?���!綤oodo Reader】不僅支持 Windows,還支持macOS、Linux 和網(wǎng)頁版的幾個平臺�����。另外近期開發(fā)者也迭代了新版��,解決某些格式導(dǎo)入后亂碼的問題����。
6����、Dia Diagram Editor
說到流程圖繪制軟件,我想很多人第一時間會想到微軟家出品的【Visio】�����,確實�����,【Visio】的口碑真的是非常好�����,我也建議第一選擇是它��,但問題是【Visio】的正版價格實在是不便宜��,專業(yè)版要五千多元人民幣,一般人可真接受不了��。不過也有免費開源的流程圖繪制軟件選擇:【Dia Diagram Editor】�����!它也可以快速繪制關(guān)系圖��、UML圖、流程圖、網(wǎng)絡(luò)圖等結(jié)構(gòu)圖����,并且支持將圖紙保存為EPS��、SVG�����、XFIG、WMF和PNG等格式,常用的打印圖形功能也是有的��,雖然界面是古老了一些�����,但做流程圖的功能基本上都是有的����,是一個冷門但卻強大的好軟件��。
7�����、Double Commander
【Double Commander】是一款雙窗格文件管理器��,并且界面采用了并排兩個面板的顯示��,【Double Commander】提供多重命名工具、內(nèi)部文本編輯器��、標(biāo)簽界面����,擴展搜索等功能,支持多種格式的存檔類型等功能��,類似于此前介紹過給大家的【Total Command】很相似�����,使用效率比其Win平臺自帶的或其它的第三方資源管理器都強很多�����,可以很方便的進行兩個文件夾資源間的比對或者增刪改,最重要是開源�����,免費��。
