这个问题在这里已经有了答案:ForgotPassword:whatisthebestmethodofimplementingaforgotpasswordfunction?(7个答案)关闭8年前。我正在构建一个用户数量始终有限(最多20个)的php网站。我花了很多时间来保护它，并对该主题进行了大量研究。我在考虑安全密码重置系统时遇到了问题。我想使用最方便的方式，即向用户发送一封电子邮件，其中包含一个包含用于重置密码的token的url。token与特定用户绑定(bind)，仅在一定时间内有效。唉，这似乎并不安全，因为电子邮件流量可以被拦截。我一直在考虑对token进行额外检查，例如ip

我的需求我正在制作一个也将有移动版本的网站。所以，我让它以API为中心。现在我想让我的API安全，而不需要OAuth的复杂性，因为我需要的安全性非常简单。我不希望任何有权访问api链接的人都能够访问我的数据。所以，我看到了这篇文章http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/这真是太神奇了，消除了我的大部分疑虑。现在，我正在尝试重新创建文章中的内容。我正在使用适用于PHP的Laravel5框架进行开发。我想确保该API仅由移动应用程序和网络版本使用，没有其他人使用

所以，我刚刚在一些经典的ASP代码以及一些PHP中同时发现了一些super令人不安的代码。经典ASP:Dimidid=request.form("id")Session(id)=idPHP$_SESSION[$_GET["id"]]=$_GET["id"];那么，这里可能出了什么问题？请注意，显然我将删除这些并使用更好的工作流程。编辑:明显的问题可能是SQLi、XSS、覆盖现有和必要的session变​​量。不过，我真的不知道这些语言如何处理session变量的内部工作原理。编辑2:我并不真正关心session变量的值，就像我关心的是能够命名它们一样。只是好奇您是否可以使用任意变量名来

我想根据用户的角色自定义登录后的重定向。仅供引用:我使用symfony2.8我创建了这个类:router=$router;$this->security=$security;}/***@paramRequest$request*@paramTokenInterface$token*@returnRedirectResponse*/publicfunctiononAuthenticationSuccess(Request$request,TokenInterface$token){if($this->security->isGranted('ROLE_SUPER_ADMIN')){$re

我知道有很多关于此的问题，但我无法找到一个涉及所有我想知道的问题。我想做的是让我的网页的用户使用表单上传图片。我想安全地执行此过程，或者至少尽可能安全。我对安全性的深层含义了解不多，但我知道不安全的网页可能产生的所有后果。我不能安静地认为我的网页不安全，或者任何人都不会进入我的网页，因为它没有足够的访问量(我是现实主义者)。此时，我知道所有关于安全的检查都必须在服务器端而不是客户端(或两者)完成。我知道文件可能会被伪装成图像并运行恶意代码，所以我搜索了避免这种情况的方法。这是我在将图像存储在服务器上之前可以找到的检查内容:来自$_FILES:$_FILES['file']['name'

我正在开发一个最近越来越受欢迎的项目。这种发展当然是张开双臂迎接的，也在某种程度上是意料之中的。因此，我已采取一切可能的预防措施来创建高效且安全的代码。但是，在服务器容量方面，我没有足够的经济能力来产生足够的开销。我怀疑我的网站迟早会开始表现出性能欠佳，我需要帮助来选择要走的路以及优先考虑的事情。我有几个问题，如果您提供丰富的经验，我将不胜感激。该站点目前基于PHP+MYSQL+jQuery。我在编写代码时尽量牢记这一点，以确保数据流量和服务器调用/数据库查询保持严格和智能。首先是大问题:您如何在财务资源持续受限的情况下继续扩大网站性能？我希望该网站能在短时间内带来收入，使我能够投入越

我有一个用PHP开发的网站。有2个类(在2个单独的php文件中)包含站点管理员的gmail用户ID和密码(纯文本)和数据库密码(同样是纯文本)。尽管这些类都没有显示在浏览器上(如index.php)。这些文件仅包含php类，不包含html代码，并且仅通过这些类的对象引用这些纯文本密码。很晚了，我开始怀疑这是否足够安全？我已尽我最大的努力(扮演一个恶意的人)尝试阅读这两个php文件的内容，但未能这样做。我不太熟悉开发安全代码，所以不确定应该采用什么方法来确保这些密码永远不会被泄露。任何人都可以建议最佳实践来开发可以安全地包含此类敏感信息的php代码。 最佳答案

最近我一直在考虑在网站上设置管理区域的最安全方法。我正在考虑的两个选项是，创建管理区域作为主站点的一部分，要求他们首先使用他们的电子邮件地址作为用户名进行注册，并为他们设置管理级别。创建一个完全独立的网站的管理区域，用户无需在其中注册，而是由另一位管理员设置。我意识到，如果我将管理区域设置为与站点分开，这将要求用户在尝试进入之前发现管理面板就在那里。这增加了多少安全性？但是，强制他们在主站点上使用电子邮件地址注册会将他们的帐户与电子邮件地址相关联，我认为这对安全性有一点帮助吗？但是将管理区域放在主站点上更容易破解，因为用户需要做的就是找到系统中的一个错误，对吗？我想我可以看到两者的优点

我有一个面向公众的调试脚本，我只想在某些开发箱上运行，我希望通过检测服务器ip或名称在该脚本中以编程方式执行此操作-所以我对$_SERVER和$_SERVER['HTTP_HOST']的安全性有疑问。来自:http://shiflett.org/blog/2006/mar/server-name-versus-http-host博客文章我收集到这个var非常不安全，并且不可信。从php中找出您当前所在的框的最佳方法是什么？我想过使用FILE，因为这似乎很安全，但我不确定我是否从文件路径中获得了足够的信息。我不一定需要服务器名称，即使是ip也可以。提前致谢。

我只使用session变量$_SESSION['user_id']和$_SESSION['passwd']在用户登录时存储一次用户ID和密码中。每次用户移动到新的php页面进行身份验证时，我只是用数据库检查这两个变量。其实我不知道session_id()。我不认为我为身份验证所做的是正确的方法。我觉得对于安全问题，session_id有一些事情要做。还有一个疑问——当我按照我提到的方式使用session变量时，这些session变量是否容易被黑客攻击我该怎么办？ 最佳答案 只要不存在其他漏洞，攻击者就无法轻易更改或读取您的$_SES