我对php比较陌生，希望你能帮助我理解为什么你应该在“回显”时清理html，特别是如果数据来自cookie..即代替Hello,!你应该做的Hello,!这是我的理解。cookie存储在客户端，因此存在安全风险，因为其中的数据可以被恶意用户操纵/更改(lol@evil)。但是由于cookie存储在客户端，这意味着客户端只能更改自己的cookie，这意味着如果他在$_COOKIE['user']中添加某种恶意代码，当cookie运行时，恶意代码只会显示给一个用户(首先更改cookie的用户)，而不会显示给其他任何人!？那么问题是什么？ 最佳答案

我搜索过SO，我知道有很多“记住我”的问题，但我找不到专门关于使用Blowfish生成安全token的问题。我正在实现一个登录系统以使用基于cookie的“记住我”功能，我读过的所有教程要么看起来不安全(例如，只是基于时间的未加盐的md5哈希)要么看起来过于复杂.我不是要为银行或类似机构建立网站，只是想要一个合理的安全级别。我提议的系统只是为用户名创建一个128字符的随机字符串，为登录token创建第二个128字符的字符串。原始字符串将存储在cookie中，未加盐的sha1版本将进入数据库中用户帐户的行。我想我什至可以在每次加载页面时重新生成字符串。对我来说，这提供了不错的安全性(我认

有谁知道如何使用配置文件(.ebextensions)在AWSElasticBeanstalk上安装和启用PHPIMAP扩展？我正在使用运行PHP7.0.16的64位AmazonLinux2017.03v2.4.0我尝试了以下几种方法:第一种方式我试过在配置文件中使用files但它不起作用，配置文件名是.ebextensions目录中的phpini.config如下设置:files:"/etc/php.d/phpimap.ini":mode:"000755"owner:rootgroup:rootcontent:|extension=imap.so额外的.ini文件通过显示/etc/p

我有一个脚本可以让用户将文本文件(PDF或doc)上传到服务器，然后计划将它们转换为原始文本。但是在文件被转换之前，它是原始格式，这让我担心病毒和各种讨厌的东西。关于我需要做什么来最小化这些未知文件的风险的任何想法。如何检查它是否干净，或者它是否是它声称的格式并且它不会使服务器崩溃。 最佳答案 正如我对Aerik的评论，但这确实是问题的答案。如果您的PHP>=5.3，请使用finfo_file()。如果您有旧版本的PHP，您可以使用mime_content_type()(不太可靠)或从PECL加载文件信息扩展。这两个函数都返回文件的

假设我有一些PHP代码在Web服务器中运行，例如，运行一个简单的CakePHP应用程序。从这个应用程序，我想偶尔与某些服务器建立TLS连接以交换一些数据。这通常是如何完成的？(我对PHP没有什么经验。)建议使用哪些PHP插件或库或其他任何东西来完成TLS连接？从哪里开始寻找一些好的地方？(我最初的Google搜索给了我一个巨大的噪声信号比。)将X509私钥放在网络服务器上会涉及哪些安全问题？要建立TLS连接，我将需要X509证书和相应的私钥，可能是PEM文件或DER文件，或者在Javakeystore中，等等。该私钥是否会位于网络根目录下易受攻击的地方？这通常是如何处理的？安全问题是什

打开“portable_hashes”。我注意到，无论出于何种原因，它生成的哈希值并不总是相同的——但在通过“CheckPassword”传递时始终返回有效值。我还注意到在生成哈希时使用了“PHP_VERSION”——这两件事结合在一起让我很担心……便携性如何？我可以在服务器、Linux、Windows、64位、32位等之间移动哈希值(保存在用户数据库中)并且仍然让它们验证吗？我需要做什么才能使密码不再有效？我问的原因是因为我在我的框架中使用phpass作为密码，这将为我的几个网站提供支持，其中许多网站目前有数千名用户-在某些情况下我不得不移动它们到不同的服务器上，当然还要升级php。

关于PHP安全模式的问题:默认情况下，它在PLESK共享主机帐户环境中打开:虽然在我的网站上似乎运行良好，但关闭时它可能运行得更快/更好？我不太理解下面的文字，尤其是PHP的解释:普莱斯克:Bydefault,PHPisconfiguredtooperateinsafemodewithfunctionalrestrictions.Somewebapplicationsmaynotworkproperlywithsafemodeenabled:Ifanapplicationonasitefailsduetosafemode,switchthesafemodeoffPHP.net:This

这个问题在这里已经有了答案:关闭11年前。PossibleDuplicate:InPHPwhatdoesitmeanbyafunctionbeingbinary-safe?函数(例如:dirname)是二进制安全的究竟是什么意思？

我们正在为EC2实例上的PHP应用程序使用awselasticbeantalk。由于我们选择了负载平衡，因此它会一次又一次地更改实例。我想知道如果我们安装一个PHP插件，它会受到实例更改的影响还是在新实例中也可用？问这个问题是因为我们观察到每次实例被elasticbeanstalk更改时，我们的应用程序都会重新部署。我们需要安装Geoip插件。如何在不影响实例更改的情况下安装它？ 最佳答案 如果您保存环境设置，则在执行您的应用程序时，您将始终拥有相同的EC2设置。我更喜欢使用代码进行这种自定义(您也可以使用AWS控制台进行此操作)。

我读过许多关于如何将字符串过滤为“字母数字”的其他问题，但所有这些问题都建议使用preg_replace()方法。根据OWASP:Functionpreg_replace()shouldnotbeusedwithunsanitiseduserinput,becausethepayloadwillbeeval()’ed13.preg_replace("/.*/e","system(’echo/etc/passwd’)");Reflectionalsocouldhavecodeinjectionflaws.Refertotheappropriatereflectiondocumentati