草庐IT

Elastic安全

全部标签

php ini_set() 更改不会在安全模式关闭的情况下进行

我想关闭输出缓冲。目前它显示novalue本地和主。我运行ini_set('output_buffering',4092);并且phpinfo()没有任何变化。安全模式已关闭。接下来要检查什么? 最佳答案 output_buffering只能通过PHP_INI_PERDIR设置,根据documentation是:Entrycanbesetinphp.ini,.htaccess,httpd.confor.user.ini(sincePHP5.3)只有PHP_INI_ALL和PHP_INI_USER允许在PHP文件中设置指令。
ini_setphpcodesection中设output-bufferingini-set

php - 如何安全地回显 $_GET?

这个问题在这里已经有了答案:HowtopreventXSSwithHTML/PHP?(9个回答)关闭9年前。对我来说看起来不太安全。显示GET元素的最佳选择是什么?像所有特殊字符上的preg_replace或htmlspecialchars之类的东西?
phpGETsectioncodenotice

php - 单独的 php 文件作为模板 - 安全隐患?

我正在研究php的模板系统,我开始相信纯php代码似乎是我想要使用的解决方案。我是孤独的开发者,所以没有设计师需要一个削弱的竞技场来工作。像smarty这样的模板引擎似乎受到“内部平台效应”的影响。如果我坚持良好做法(预先计算的值,仅使用foreach),我认为这会奏效。我的目标是为每个页面共享的html字符串提供单一来源。我的想法是通过include访问一个单独的php文件是实现这个目标的好方法。但是,我担心这可能会对网站造成安全隐患——我目前想不出任何具体的东西,但有人可以猜出模板的名称并直接请求它,也许会暴露一些东西他们不需要看到。(我想我可以检查一下,看看它本身是否是请求。)我
隐患phpcodelisectiontemplatessecurity

php - $_SERVER ['SERVER_ADDR' ] 可以安全依赖吗?

我的站点严重依赖于$_SERVER['SERVER_ADDR']。我可以信任检索到的数据吗?有没有可能找到空字符串? 最佳答案 我引用了一些php引用这似乎取决于托管PHP的服务器(尤其是apache,IIS...)http://php.net/manual/en/reserved.variables.server.phpOnWindowsIIS7youmustuse$_SERVER['LOCAL_ADDR']ratherthan$_SERVER['SERVER_ADDR']togettheserver'sIPaddress.还有一
SERVERSERVER_ADDRsectionphp

php - 登录后 symfony 2 安全重定向

我有下一个security.yml:security:encoders:Test\BackEndBundle\Entity\User:algorithm:sha512encode-as-base64:trueiterations:10providers:main:entity:{class:TestBackEndBundle:User,property:username}firewalls:main:pattern:/.*form_login:check_path:_security_checklogin_path:_security_logindefault_target_path:
symfonyphpsecuritysectionloginacl

php - 为什么将框架文件夹放在公共(public)根目录之外更安全?

为什么总是建议将框架文件放在公共(public)根目录之外?鉴于有时框架没有可以通过浏览器打开的.ini或.inc文件。 最佳答案 好吧,将框架源代码放在Web根目录中肯定得到任何东西。由于选择放置文件的位置是自由的,因此使用principleofleastprivilege是合乎逻辑的。:您不需要通过Web访问这些文件,因此您不会得到它。一个更具体的原因是,框架源可以很容易地披露网站上使用的框架的品牌和版本(尽管通常也可以通过检查生成的内容来获得这些信息);这反过来又可以使恶意用户更容易利用已知或新发现的漏洞。
publicphpsectioncodestackoverflowzend-frameworkcakephpsymfonyyii

php - 简单的安全登录 php/javascript

我想创建一个安全登录,所以我想在将密码作为POST参数发送之前对其进行加密。我正在使用SHA1javascript函数来完成它。然后我意识到,如果有人截取了加密后的密码,他就可以马上使用。将其作为相同URL的post参数发送。如何确定密码来自登录输入字段?也许有一个PHPsession?我还不想使用安全http。谁有简单的替代方案? 最佳答案 HowcanIbesurethatthepasswordcomesfromthelogininputfield?你不能。最接近的是对CSRF的通常防御。…但这只会阻止人们欺骗用户将数据从他们的
javascriptphpsectionblockquotestrongsecuritysha1

API接口渗透测试技巧汇总(API安全)

目录1API接口介绍1.1RPC(远程过程调用)1.2WebService1.3RESTfulAPI1.4MVC、MVP、MVVM
API汇总margin-leftmargin20rpc服务器网络协议

php - javascript 验证是否足以确保我的表单安全?

关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭9年前。Improvethisquestion我正在建立一个网站,我对登录/注册页面上的表格有疑问。我在登录页面上有一些标准的javascript验证。我的问题是,如果禁用了javascript,我应该只禁用登录按钮,还是应该在服务器端代码上保留PHP验证?就安全性而言,哪种方法更好?我打算禁用登录/注册按钮,只通过javascript启用它。这样我就可以避免编写已经存在的相同JavaScript的PHP端验证。这是一种安全的方式吗?
javascript足以sectionclassnoticephphtmlformssecurity

php - 这个登录系统安全吗?

我只是想知道这个登录系统是否安全,因为我曾计划将其用作学习工具。我不想使用任何会教我错误方法的东西。谁能帮忙?https://github.com/ivannovak/jpmaster77-s-Login-System- 最佳答案 当快速浏览代码时,我认为您不应该使用此代码,因为它可能会被泄露。P.S:我也不认为你应该学习那些东西(如果你想学习openid规范/库,但把它留给安全专家。你应该使用openid/facebookconnect/等。我使用rpxnow。非常高兴。旧代码库第一个代码库是旧的。最后一次提交是2009年8月11
php这个s-Login-Systemivannovakjpmastersecurityauthentication
96979899100101102