有什么好处吗sha1(sha1(sha1($password.$salt)));基本上有多个sha1与只有一个sha1sha1($password.$salt); 最佳答案 不要，我再说一遍，不要尝试通过对您的哈希执行“特殊”操作来使您的密码哈希更安全。首先，sha1(sha1(sha1($input)))每次迭代的副作用只有增加碰撞的机会*。增加碰撞的机会是一件非常糟糕的事情。与其亲自动手尝试密码学，何不相信该领域真正的专家制作的库？使用PortablePHPpasswordhashingframework.PHPass实际上使用

以这种方式在登录或注册类中调用__construct()是否安全:function__construct(PDO$DBH,$_POST['1'],$_POST['2']){$this->_user=$_POST['1'];$this->_pass=$_POST['2'];$this->_DBH=$DBH;}我想稍后在这个类中清理用户输入，我不确定我的代码是否适合SQL注入(inject)或XSS，因为类是用原始POST输入构造的？ 最佳答案 如果您知道您清理/使用准备好的语句(即原始POST数据未按原样插入查询)，那么这样做很好。事

基本上，我想问一下是否有人在创建大型电子商务项目时遇到过YiiFramework的安全问题。我的客户希望在这个项目中使用这个框架，根据我以前使用Symfony的经验，我想仔细检查这个问题。Yii很酷，而且越来越流行。Yiipopularityarticle.但总有一个“如果”的问题，我希望我的客户确保他所有的数据都是安全的。并确保我自己。谢谢! 最佳答案 Yii作为一个框架本身是安全的:YiiisequippedwithmanysecuritymeasurestohelppreventyourWebapplicationsfroma

我正在尝试使用注解来保护我的Controller:namespaceVinny\StreamBundle\Controller;useSymfony\Bundle\FrameworkBundle\Controller\Controller;useJMS\SecurityExtraBundle\Annotation\Secure;useSensio\Bundle\FrameworkExtraBundle\Configuration\Route;classHomeControllerextendsController{/***@Route("/home",name="home")*@Sec

我在一个网站上工作，该网站具有根据ID更新和删除数据的功能。现在我担心的是我的url会是www.example.com/public/controller/action/1如果操作是删除，任何人都可以在url中将id从1更改为2，id为2的数据将被删除。保持流程安全的最佳方法是什么。我正在使用Zf2和Doctrine2...请提出任何建议!此外，我将id隐藏在字段中，任何人都可以使用firebug来更改字段中的值，是否有任何方法可以保护数据不受其影响？是否有任何加密-解密方式可以确保它的安全，就像如果有人甚至编辑加密值，解密后它不会产生所需的ID？哪个好？

我已经完成了我的PHP项目开发。它是在我的电脑上本地开发的。现在我已准备好将其上传到我的网络服务器并公开访问。但是，有一件事困扰着我:目前，所有PHP文件以及所有HTML、JavaScript、CSS和图像文件都在我的WWW文件夹中。PHP文件很敏感，因为它们访问MySQL数据库并且通常包含密码和文件路径，这些密码和文件路径旨在对用户保密。如果我将PHP文件留在WWW目录中，我是否担心它们会像其他文件和图像一样对公众开放？我非常害怕熟练的用户可以下载和阅读它们并泄露有关我的网络服务器的secret信息。我的担心合理吗？Web服务器是否自动隐藏.php文件？我应该将PHP文件移动到另一个

我要写一个安全的登录脚本，请问它应该有什么样的组件。目前我想到的是这些基本使用PDO作为mysql数据库的连接器使用SHA512保护密码(是否应该涉及盐/token？)Session和cookie管理，尽量避免sessionid的劫持(你能给我一些关于它的文章吗？)XSS预防(你能给我推荐一篇文章吗？)输入的SQL注入(inject)预防卫生通过https的安全连接注册在使用reCaptcha注册方面登录计算登录尝试次数并在5次失败尝试后阻止，以防止暴力攻击。登录后具有破坏功能的session计时器(12分钟结束session)，单击以更新计时器[有人有这方面的示例吗？我找不到任何]是

我的页面上有这段代码:header("Location:$page");$page作为GET变量传递给脚本，我需要任何安全措施吗？(如果是的话)我打算只使用addslashes()但这会填满URL... 最佳答案 我可以将你的用户转发到任何我喜欢的地方，如果我让他们点击一个链接，这绝对是一个很大的安全漏洞(请登录www.yoursite.com?page=badsite.com)。现在考虑一个场景，其中badsite.com看起来与您的网站完全一样，只是它捕获了您的用户凭据。最好在代码中定义一个$urls数组，并只将索引传递给该数组

这个问题在这里已经有了答案:关闭12年前。PossibleDuplicates:PHP:theultimateclean/securefunctionWhat'sthebestmethodforsanitizinguserinputwithPHP?我应该向我的函数添加什么以确保传递给它的每个字符串都是“服务器友好的”？我使用这个小函数来检查包含姓名、电子邮件地址和ID的输入。functioncheckInput($str){$str=@strip_tags($str);$str=@stripslashes($str);$str=mysql_real_escape_string($str

Tumblr和Blogger等博客提供商允许用户在自己的博客中编写脚本。它使用户可以轻松地将AdSense、Analytics和计数器添加到他们的博客中。如何兼顾安全性和定制化？我应该过滤什么样的脚本？谢谢:) 最佳答案 如果每个博客都将在自己的域中(而不是像blogname.myblog.com这样的共享二级域!)，很可能没有必要过滤任何东西。同源策略将阻止站点访问任何重要内容(例如可能被劫持以侵入其他博客或管理URL的sessioncookie)。恶意用户添加指向受恶意软件感染的站点的iframe或做其他邪恶事情的危险总是存在的