设想以下PHP文件:如果我把它放在运行标准LAMP设置的服务器上，别人怎么能找到$topSecret？如果变量没有回显，它是否易受攻击？这方面的实际应用可能是存储在服务器的Web根目录中的数据库凭据。 最佳答案 如果PHP以某种方式失败，则该页面将显示为纯文本文件。这以前发生过；它曾经发生在Facebook.为了防止这种情况，您应该将所有敏感变量(密码等)存储在不在网络根目录中的php文件中。您可以将其存储在父文件夹中(如果您有权访问它)或受apache保护的子文件夹中(denyall)。

我正在研究一本2003年写的旧phpmysql书。作者使用include()函数通过包含header.inc、footer.inc、main.inc文件等来构造html页面。现在我发现这在默认的ini设置中是不允许的，(allow_url_include设置为关闭)在我从服务器收到许多警告后。我还注意到您可以使用不带括号的include。我尝试了这个并且它有效并且我没有收到任何错误消息或警告。两者有区别吗？也就是说，include()与include不同吗？ 最佳答案 这是误会。您可以关闭包含远程文件(使用URLhttp://www

这看起来像是可以使用密码的安全盐吗？有什么改进或建议或明显的缺陷吗？$salt='';for($i=0;$i 最佳答案 您不需要使salt非常长，并且它们的加密安全性并不重要。加盐的目的只是让彩虹表攻击变得更加困难，因为你不再有密码和哈希值之间的一对一映射。(他们还防止管理员在数据库中看到482c811da5d5b4bc6d497ffa98491e38，然后知道Joe的密码是“password123”。)即使是4字节的盐也绰绰有余，因为您现在对任何密码都有232≈40亿个潜在哈希值。 关

当低权限的非管理员用户成功登录到我的网络应用程序时，我将以下数据存储在$_SESSION数组中:$_SESSION=array('user_id'=>2343,//whatevertheiruser_idnumberisfromtheDB'allow_admin'=>false,//don'tgivethemaccesstoadmintools'allow_edit'=>false,//don'tletthemeditstuff);除了以某种方式编辑/tmp中的session文件之外，他们是否有任何方法可以操纵$_SESSION数组以授予他们管理员或编辑权限？(以上代码是将这些项目添加

我有一个网站，我刚刚发现有人以某种方式在我的页面上注入(inject)了JavaScript。我怎样才能弄清楚它的作用以及他们是如何做到的？varx=unescape("%68%(****someotherhexcharactershere****%74%2e%63%6e%2f%76%69%64");document.write("");我不确定是怎么到那里的。有谁知道它是怎么到那里的？我可以做些什么来删除它？ 最佳答案 你现在需要知道这个:我们在Linode经常看到这种情况，这表明您的服务器已被攻击者入侵。如果未转义，则可能是会感

我想强制用户在检查symfony2没有足够的权限访问特定安全区域后注销。我试过:$this->get('request')->getSession()->invalidate();但似乎出了点问题，用户仍然登录，直到我使用/logout路由将他注销。我必须提到，我正在使用KayueWordpressBundle将我的symfony应用程序与基于wordpress的网站连接起来，以创建自定义后台办公室。这是我的security.yml文件security:firewalls:dev:pattern:^/(_(profiler|wdt)|css|images|js)/security:fa

我的PHP项目合作伙伴反对我总是在动态SQL中清理整数值的做法。我们会尽可能使用参数化查询。但是对于UPDATE和DELETE条件Zend_Db_Adapter需要一个非参数化的SQL字符串。这就是为什么我，即使不假思索，总是写这样的话:$db->delete('table_foo','id='.intval($obj->get_id()));这是等效的，但是是(我已经检查了ZF源代码)的较短版本:$db->delete('table_foo',$db->qouteInto('id=?',$obj->get_id(),'INTEGER'));我的搭档强烈反对这个intval()，说如果

我正在使用此处描述的SimpleAuthentication功能:http://symfony.com/doc/2.6/cookbook/security/api_key_authentication.html目的是通过作为查询(获取)参数或header传递的token字符串提供身份验证。这个token，我们称之为TemporaryAccessToken以避免与Sf2token混淆，由Controller生成，通过电子邮件发送给用户(此处未描述)并且应该在有限的时间内可用(专用实体中有一个valid_until\DateTime列)。作为记录，当protected页面(由simple_

作为网站管理员，我需要识别存在风险的脚本。我总是编写过滤用户输入的php代码。我从不信任用户输入，选择哪些字符是有效的(与禁止某些字符相比)，使用php原生过滤功能(filter_input)或使用lib/frameworks实用程序。今天，我在下载的模块中搜索安全漏洞，发现了这段代码:if(isset($_GET['css_file_name'])){$cssFileName=_PS_MODULE_DIR_.DS."xxxx".DS."css".DS.$_GET['css_file_name'].".css";echofile_get_contents($cssFileName);}

我正在开发一个使用composer的php项目，但一些依赖项非常旧，包括php版本。我们正试图说服客户升级php的版本，并因此升级所有其他依赖项。我们想对现有的依赖项进行分析，并寻找这些依赖项的已知漏洞。是否有任何可用于运行dependencycheck的php工具？？我已经使用bundleaudit对ruby​​项目完成了此操作但我没能找到类似的php工具。 最佳答案 好吧，有来自Roave(https://github.com/Roave/SecurityAdvisories)的Composer包，但是关于库的报告完全取决于项目