我们需要设计一个安全的网络应用程序。我想提出一种session处理机制，它不仅在使用CRAM登录期间对每个请求进行质询-响应。方法。原因是为了加强Web应用程序以防止session劫持(例如CSRF)和重播或中间人攻击。使用nonce在某些地方建议，但在我们的webapp中它似乎不切实际，因为异步请求可以继续，或者用户可以打开新窗口，点击后退按钮等。想法:客户端和服务器有一个共享的secret(预先建立的用户密码)，每个后续请求都会根据该secret再次进行质询/响应，例如'response=hash(challenge+hashedPassword)'。仅当对质询的响应匹配时，服务器

我有一个用node.js编写的网络服务器，它几乎只为用户提供静态文件。要向其添加PHP支持，我想我可以只下载PHP并将文件提供给PHP.exe。如果它供单个用户使用，那是可行的并且就足够了。对于多个用户将其网站托管在服务器上的环境，它会带来巨大的安全问题。可以使用PHP脚本对任何其他网站甚至整个服务器执行他/她想要的任何操作。哦，我有没有提到它是一个Windows服务器？无论如何，我想要的是获得一些权限以将php脚本保存在特定目录中。我正在考虑为每个网站创建一个用户，我将在该网站上应用适当的权限，而不是在使用“运行方式”之类的东西执行php.exe时(假设它是可能的)。我还有其他方法可

我正在使用AJAX开发网络/移动应用程序。该应用程序有4个页面:登录页面和3个仅向登录用户显示的protected页面。我打算使用单页应用程序模式，因此所有4个页面都将立即加载，每个页面都在自己的DIVid中，并且最初只有登录页面可见。一旦用户输入了他的用户名/密码，我就创建了一个XMLHttpRequest并与内部PHP脚本通信，后者又使用准备好的语句来检查数据库中是否存在用户名/密码，并返回true或false给XMLHttpRequest。如果结果为真，我将使protectedDIV可见并从服务器加载必要的数据，创建另一个XMLHttpRequest并通过另一个PHP脚本与数据库

我目前正在使用mysqli，我想要一种方法来正确清理每个用户输入。我正在寻找最简单的轻量级方法来执行此操作，据我所知，我不应该使用mysql_real_escape....我的查询是这样的$stmt=$sql->prepare("INSERTINTOPersons(msg,ip,time,main,twit,city,lat,lon,lang)VALUES(?,?,?,?,?,?,?,?,?)");据我所知，我应该使用函数bindParam...如果我这样使用它，我是否完全保护了我的用户输入？$stmt->bind_param('sssssssss',$_POST[msg],('$ip

类似于this问题，我需要为我网站的管理员和前端包单独登录。admin实际上是位于vendors中的一个单独的包。现在，我的路线如下:应用程序/配置/routing.yml:AcmeSiteBundle:resource:"@SiteBundle/Resources/config/routing.yml"prefix:/AcmeAdminBundle:resource:"@AdminBundle/Resources/config/routing.yml"prefix:/admin/两个包的单独routing.yml文件都有:fos_user_security:resource:"@FO

这个问题在这里已经有了答案:HowdoyouusebcryptforhashingpasswordsinPHP?[duplicate](11个答案)关闭9年前。我在数据库中有一个带有salt的PHP登录脚本，但在我的注册脚本中我看到:$qry="INSERTINTOaccounts(username,firstname,lastname,password)".VALUES('$username','$fname','$lname','".md5($_POST['password'])."')";对于登录:$qry="SELECT*FROMaccountsWHEREusername='$

我想设置一条自定义消息，当我在Laravel5.1中抛出错误时向用户显示。例如，在Controller中我可能有:if(!has_access()){abort('401','pleasecontactsupporttogainaccesstothisitem.');}然后我的自定义错误页面将显示错误:$exception->getMessage();但是，如果出现SQL错误或其他事件怎么办？这不会也设置我会在我的错误页面上不知不觉地输出的异常消息吗？PHPdocsforgetMessage()不要对此进行详细介绍。如何在不引入任何安全风险的情况下设置特定的异常消息？

我正在开发一个基于Ubuntu16.04的新LAMP服务器，但默认存储库中似乎没有可用的libapache2-mod-suphp包。在我以前的Ubuntu服务器上，它可以通过简单的apt-getinstalllibapache2-mod-suphp获得。有人知道会发生什么吗？ 最佳答案 根据thisbugsuphp在repo协议(protocol)中不再可用。您必须从libapache2-mod-suphp手动安装它. 关于php-Ubuntu16.04中缺少suphp，我们在Stack

用户能否操纵php_sapi_name()返回的值？我有一个看起来像这样的脚本:if(php_sapi_name()!=="cli"){die("NoAccess");}//Dosomeadminstuff此脚本只能(!)通过命令行调用。上面的代码安全吗？或者有人可以通过HTTP调用脚本并在if条件之外执行它吗？ 最佳答案 php_sapi_name()的返回值是可以安全依赖的。它不是从用户数据生成的。如果您不希望从您的网络服务器调用此脚本，则您不应该让您的网络服务器访问该脚本。如果您关心安全，则根本无法访问此脚本。您还提到了.ht

我有一个检查HTTPReferer的PHP脚本。if($_SERVER['HTTP_REFERER']=='http://www.example.com/'){...}但是，这似乎本质上是不安全的……因为如果用户访问'http://example.com/'或'http://www.ExaMple会发生什么。com'(两者都不符合相等性测试)。问题:什么是更好的相等性测试来确保HTTPReferer来自'example.com'？ 最佳答案 parse_url()结合一些字符串杂耍应该做你想做的。试试这个:$url=parse_ur