SECURITY

php - 如何为检查请求的来源提供更多安全性

我正在开发一个PHP网络应用程序，我想为应用程序提供更多的安全性，以便没有人可以轻易破坏功能。关于我的问题的简要说明:在一个模块中，有一个阶段我正在检查请求的来源(这个请求来自哪里)目前，我正在使用HTTP_REFERRER变量(在php中可用)。我正在使用一个特定的URL(例如http://www.example.com/test.php)检查此变量值。如果存在完全匹配，那么只有我会调用进一步的操作。我对上述方法有点困惑，我是应该使用HTTP_REFERRER还是检查IP地址(如果请求来自任何特定IP地址，则为有效请求)？我还想知道提供安全性的更好方法。有没有人有想法然后请分享？提前

何为 php section http noreferrer security csrf

php - 我的网站被攻击了吗？ Suhosin 模拟，IP 日志中非常奇怪的事件

在回答这个问题之前，我会说我不是Web开发人员，而且我在该领域的知识也不多。我是一名企业主，我的客户在其上购买产品的网站数量较少。几分钟前我注意到了这组查询，对于我这个外行人来说，它们看起来非常可疑。看起来好像他们正试图从我的数据库中提取数据？我可能完全错了，但有人请让我知道他们认为这里发生了什么。注意事项:当大多数普通查看器以GET方式列出时，所有方式都以POST方式列出。以下所有内容都紧跟在我的域名之后，例如examplesite.com/xxxxxxxx查询如下:/cgi-bin/php?-d+allow_url_include%3Don+-d+safe_mode%3Doff+-

中非 Suhosin section cgi cgi-bin php security simulation

PHP Secure Login - 密码加密

这里是要实现安全登录的登录系统/main_login.phpUsername:Password:检查登录.php登录成功.phpLoginSuccessful.Logout注销.php问题是我想通过密码加密或任何其他方法(如果有的话)进行安全登录。我是PHP初学者最佳答案您可以使用md5对密码进行一定程度的加密。您需要对用户注册时和登录md5之前的密码进行md5....例子://定义$myusername和$mypassword$我的用户名=$_POST['我的用户名'];$mypassword=$_POST['mypasswo

Secure Login 34 mypassword myusername php security password-protection login-script

php - 开发安全的 PHP 登录和身份验证策略

我正在为一个新的PHP站点开发一个登录和身份验证系统，并且一直在阅读各种攻击和漏洞。但是，它有点令人困惑，所以我想检查一下我的方法是否有意义。我计划存储以下数据:在session中:用户ID，散列+加盐HTTP_USER_AGENT在cookie和数据库中:随机标记，散列+加盐标识符在每个页面上，我计划执行以下操作:如果session存在，则使用该session进行身份验证。检查HTTP_USER_AGENT是否与存储的session中的匹配。如果不存在session，则使用cookie进行身份验证。检查cookie中的token和标识符是否与数据库中的匹配。如果cookie无效或不存

php strong cookie session security authentication cookies

php - Json:PHP 到 JavaScript 安全与否？

我了解在客户端使用eval(json_str)容易受到恶意代码的攻击。我的问题是，如果json_str是由PHP函数json_encode构造的数组，我会安全吗？例如，json_str=json_encode(array(record1,record2,record3));现在在客户端代码中使用eval(json_str)是否完全安全？最佳答案就纯JavaScript而言，是的，你是安全的:json_encode的输出只能包含静态值，当传递给eval时不会产生意想不到的副作用。.(尽管在使用()时，您通常必须用eval将JSON

与否 JavaScript code section json_encode php json security

php - 为什么我应该使用 $_GET 和 $_POST 而不是 $_REQUEST？

这个问题在这里已经有了答案:What'swrongwithusing$_REQUEST[]?(16个答案)关闭8年前。除了$_REQUEST从cookie中读取这一事实之外，还有什么理由让我应该使用$_GET和$_POST而不是$_REQUEST？这样做的理论和实践原因是什么？

REQUEST POST section code notice php security

javascript - 将 ajax 请求更改为不同的 php 文件漏洞，潜在漏洞利用说明

我正在创建一个应用程序，它接受ajax调用(jquery)并向经过验证的用户返回网站的入口token。例如，ajax称为checkAuth.php，此目录中还有所有其他php文件。通过更改JS来验证另一个文件，例如checkMail.php:varxmlRequest=$.ajax({url:"checkAuth.php",processData:false,data:xmlDocument});将url更改为checkMail.php并在站点中创建一个漏洞？varxmlRequest=$.ajax({url:"checkMail.php",processData:false,data

javascript ajax stackoverflow questions section php jquery security

php - 使用 MongoDB PHP 驱动程序时的安全问题

我有在MYSQL上保护sql注入(inject)的经验，但是在使用php驱动程序的MongoDB上我应该注意什么？在大多数页面中，我通过GET/POST和搜索/插入系统获取数据。我通过UDID/其他字段搜索，可以插入任何字符串值。我还通过javascript获取用户的cookie。那么当GET/POST时，我要向每个变量添加htmlentities函数？什么会取代mysql_real_escape_string？我应该使用它吗？所以，例如，当做$download=array('url'=>$_GET['url']);$downloads->insert($download);这样可以吗

MongoDB 驱动 blockquote section php security

php - Symfony 可以改变 'secret' 参数破坏什么吗？

在parameters.yml文件中有一个名为secret的参数，默认为ThisTokenIsNotSoSecretChangeIt但应将其更改为其他参数。如果在生产中更改此参数的值会怎样？它能打破任何东西吗？最佳答案它不会破坏任何东西。不时更改值secret参数甚至被认为是一种好习惯，官方文档建议:http://symfony.com/doc/current/reference/configuration/framework.html#secret唯一需要注意的是:However,keepinmindthatchangingt

amp 破坏 section strong secret php symfony security parameters

php - PHP 的 password_hash 和 password_verify 函数够用吗？

我正在构建一个有用户的网站，并且与大多数拥有某种用户类型系统的网站一样，他们使用他们的电子邮件和密码登录>。我在网站的后端部分使用PHP。在阅读了互联网上的一些文章和帖子后，我了解了PHP函数password_hash()和password_verify()并且想知道是否有这样的示例程序因为这个足够安全吗？注册用户，password_hash()他们的密码并将散列存储在数据库中。登录时，使用password_verify()验证密码并登录。如果他们想更改密码，获取他们的输入并再次password_hash()输入。所以我的问题是如下:password_hash()和password_v

password password_verify strong password_hash php database security

170 171 172173174 175 176