这不是我遇到的具体问题，但我必须澄清一些事情，因为我对这个项目有很多利害关系。我正在创建一个将部署到英国一些大公司的网络应用程序，如果我们做错了，我们可能会付出巨大的代价!我需要确保每个公司的数据都非常安全，所以我想知道为每个组织创建一个新数据库是否是个好主意，这样他们的数据就完全独立了，如果一个数据库被破坏了所有组织都不会受到影响——这将使我们有时间在所有数据受到威胁之前对安全问题使用react。我的问题是:这样做的短期和长期利益是什么(如果有的话)这个的短期和长期缺点是什么(如果有的话)这是好的做法吗？它是否会以我预期的方式解决安全问题？提前致谢 最佳答

我在php中使用PDO，因此无法使用准备好的语句转义表名或列名。以下是我自己实现它的万无一失的方法吗:$tn=str_replace('`','',$_REQUEST['tn']);$column=str_replace('`','',$_REQUEST['column']);$sql="SELECT*FROM`tn`WHERE`column`=23";print_r($pdo->query($sql)->fetchAll());或者还有什么途径可以攻击它？ 最佳答案 您可以通过询问数据库哪些列对给定的数据库表有效来使用动态白名单。

关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题？更新问题，以便editingthispost可以用事实和引用来回答它.关闭7年前。社区在去年审查了是否重新打开这个问题并让它关闭:原始关闭原因未解决Improvethisquestion我正在开发一个最终将连接到mySQL数据库的网站。我的问题是如何安全可靠地存储这些凭据以在我的PHP站点中访问该数据库，而不会有它们意外被破坏的风险，例如，服务器将PHP作为普通文本返回？任何帮助表示赞赏，谢谢!:)

如果Web服务器和数据库服务器在不同的主机上，当您在PHP代码中使用mysql_connect时，黑客是否有可能进行数据包嗅探或使用其他方法获取数据库用户名/密码？ 最佳答案 是的，可以嗅探mysql_connect()。密码是"scrambled"，但这不会阻止攻击者。所有查询都以纯文本形式通过网络发送，如果您正在嗅探TCP序列ID，则经过身份验证的session可能会被劫持。您必须使用完整的传输层加密，这可以使用MYSQL_CLIENT_SSLflag如果您担心这种攻击。如果您要通过Internet或其他不受信任的网络建立mys

我有一个分类网站，我只是问了一个问题，关于每当用户发布新的分类等时我是否需要使用验证码。我网站上的某些地方(如联系表格)确实需要某种身份验证(验证码等...)。但我不知道在发布新分类时是否需要一个，所以我转向你们来决定。这是今天的程序:用户点击“新分类”。用户填写了一个包含大量输入/选择等的表单。顺便说一句，选择是用javascript填充的，如果这有什么不同的话。然后用户点击“预览分类”按钮。接下来是“预览”页面，用户可以在其中查看分类的外观。在这里，第一页的所有表单信息都存储在SESSION变量中。如果用户满意，则他们必须选择一个密码。这是通过在底部的“预览”页面中填写另一个小表格

由于我们的共享托管服务器不允许我们设置Tomcat，我决定将其安装在我们的本地计算机上。本地Tomcat服务器允许我们监听特定端口以获取Bancnet交易，然后这些交易将被处理并写入远程站点。问题:将本地PHP应用程序设置为直接连接到远程mySQL服务器是否安全？有关如何确保连接安全的任何建议。顺便说一句，我在本地主机上安装了一个自签名证书，但不确定这如何适用于远程mySQL连接。 最佳答案 您可以创建一个sshtunnelMySQL服务器和客户端之间。如需更多弹性，请使用autossh.

我正在构建一个需要注册和登录的网站。由于我是网络开发的新手，我在想是否可以选择向服务器发送未加密的密码。或者，既然我对密码学一无所知，您会向我推荐什么？编辑:http://pastebin.com/nYcazcZq 最佳答案 如果您的网站只是用于测试或在Intranet中使用，那没什么大不了的。如果没有，我强烈建议您使用SSL。如果您买不起证书，至少让您的用户可以选择:使用OpenID登录(因为大多数OpenID提供商都提供SSL进行身份验证)；使用摘要式身份验证登录(不会通过网络以明文形式发送密码)。

在将密码插入数据库之前，我总是在php(或其他)中散列密码。今天我发现mysql5.5内置了哈希，所以我可以这样做:+-----------------+--------------+------+-----+---------+----------------+|Field|Type|Null|Key|Default|Extra|+-----------------+--------------+------+-----+---------+----------------+|user_id|int(11)|NO|PRI|NULL|auto_increment||user_uname

这个问题在这里已经有了答案:HowtosecuredatabasepasswordsinPHP?(17个答案)关闭去年。我似乎无法得到一个直接的答案，所以希望有人能提供帮助。如果我在我的PHP脚本中包含一个mysqli_connect()语句并且还包含我的MySQL用户名和密码，这些细节是否会随时受到攻击？显然，PHP括号之间的任何内容都不会在客户端提供(因此在查看源等时不应该是可见的)但是是否有任何其他方式可以破坏这些细节？

我需要为一家公司创建一个应用程序，他们想让人们登录该应用程序以获得不同的权限来执行不同的任务。我最初的想法是创建一个MySQL数据库，将凭据硬编码到应用程序中，然后让应用程序连接到MySQL数据库。MySQL数据库将有一个名为“users”的表，用于存储用户名、密码和权限。然后应用程序将查询服务器并执行身份验证。最大的问题是将MySQL凭据硬编码到应用程序中。如果应用程序落入坏人之手，如果他们四处寻找凭据并开始删除表，他们可能会对MySQL数据库造成很大的损害。所以我想到开发一个服务器作为MySQL数据库的接口(interface)。例如，客户端应用程序将通过TCP连接到服务器，而服务