SECURITY

php - 使用 PHP 中的 $_SESSION 使用户登录系统安全

关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题editingthispost.关闭7年前。Improvethisquestion我希望有人能在这里帮助我，我正在创建一个PHP网络应用程序，需要用户登录才能查看mysql数据库中的数据。我只想知道这是否是一个好方法，是否足够安全？我知道在PHP脚本中没有什么是安全的，但我需要它相当安全。这就是我正在一步步做的，如果你能给我指出正确的方向并告诉我哪里出了问题，那就太好了!用户使用用户名和密码登录。PHP根据数据库检查用户和密码。如果可以，我将存储$SESSION["username"]

mysql - 有没有安全的方法来设置 mysql root 密码？

在thishow-togeekarticle，作者谈到了使用mysqladmin-uroot-hhost_namepassword“newpassword”设置新密码。有人回复说可能会将密码留在shell的历史文件中，建议使用mysql-urootmysqlmysql>SETPASSWORDFORroot@localhost=PASSWORD(’newpasswordgoeshere’);但另一个人说它会将密码留在.mysql_history文件中。安全对我来说不是问题(没有其他人可以访问我的计算机)，但是有更好的选择吗？最佳答案

mysql root password section security

php - Codeigniter 中的安全类

我正在尝试使用Codeigniter2.0.2中的Security类，但我似乎无法找到要加载的类。它隐藏在某处吗？如CI用户指南中所示的安全库:http://codeigniter.com/user_guide/libraries/security.html尝试搜索/system/libraries但它不在那里...尝试使用$this->load->library('security')加载安全类；给我一个错误:Unabletoloadtherequestedclass:security 最佳答案根据codeigniteruser

Codeigniter php section security code mysql

php - 这个php代码安全吗？

我知道我应该使用准备好的语句，但我的下一个项目将使用准备好的语句，我只需要完成这个简单的小应用程序。所以我的问题是:下面这段代码安全吗？我使用了htmlentities以及mysql_real_escape_string，因为我认为这是一个安全的选择。//Image$imageInput=$_POST['Image'];$imageClean=htmlentities($imageInput,ENT_QUOTES,'UTF-8');//Insertsvaluesintorelevantfieldandcreatesanewrow.mysql_query("UPDATE*****SETi

php 这个 code mysql_real_escape_string section mysql security

php - 无需身份验证即可识别唯一用户

所以我的网站有一个功能，我打算只允许每个唯一用户使用有限的次数......事情是......我想这样做而不必强制用户注册和登录到网站...我在考虑使用IP地址，但是IP地址很容易被操纵(使用动态DNS、代理服务器等)所以我的问题是，有没有一种方法比使用IP地址更可靠地识别唯一用户而不强制他们注册我还使用LAMP堆栈+JQuery，因此欢迎使用它们的任何解决方案... 最佳答案这些都是邪恶的，你的用户会讨厌你，但是你开始吧:http://samy.pl/evercookie/ 关于php

php 无需 section stackoverflow evercookie mysql security apache authentication

PHP - 安全地存储外部服务的密码？

我目前正在计划开发一个PHP应用程序，该应用程序需要存储外部服务的用户密码，以便在用户登录我的应用程序时可以同时登录。我需要以安全的方式存储密码，即不是纯文本，也不是base64编码，但应用程序也需要以某种方式以纯文本形式访问密码。我只能想到以下内容:当用户将外部服务的凭据添加到他们的帐户时，他们会重新输入我的应用程序的密码，并且(以加密形式)用于以某种方式“加密”外部服务的密码，但在一种使其仍然可以访问的方式。有人对这是否可行或潜在的解决方案有任何想法吗？谢谢另外:值得注意的是，数据将通过SSL连接发送。出于好奇:举个例子；GoogleMail，您可以将电子邮件帐户添加到您的Goog

PHP 安全地 section strong 的 mysql database security passwords

php - 我应该清理传递的每个表单变量吗？

我有一个包含很多字段的表单...Action设置为查询mysql的php页面...我应该用mysql_real_escape_string清理每个变量吗？或者我可以忽略清理下拉列表和radio吗？还有，除了mysql_real_escape_string，还需要做什么来防止攻击呢？谢谢最佳答案您还必须检查选择和单选按钮。任何人都可以创建自己的HTML表单并将其发布到您的脚本中。Firefox扩展程序WebDeveloperToolbar甚至有一个选项可以将选择转换为文本输入。您还可以检查发布的数据是否只包含正确的值。例如，如果您

传递 php section mysql_real_escape_string mysql sql database security

MySQL "INSERT"和 SQL 注入(inject)

我有这个简单的mysql查询:INSERTINTOtable(col1,col2)VALUES('1','2')col1和col2是另一个表的外键，因此col1和col2的任何值都必须存在在另一个表中，否则不会插入该行。这种情况下是否还有SQL注入(inject)的风险？如果我从PHPPOST接收到这些col值，我是否仍然需要在插入数据库之前绑定(bind)它们，或者它们已经是安全的，因为cols是外键？最佳答案是的。来自用户的所有输入都需要检查是否经过清理。例如。如果用户向您发送这样的字符串'2');droptable作为你的

amp INSERT code section col mysql sql security sql-injection

php - MySQL/PHP - 转义字符可能会降低我的数据库速度(或使其意外执行)

我通过(int)Integer运行我所有的整数，以确保它们可以安全地用于我的查询字符串。我还通过这个函数代码运行我的字符串:-if(!get_magic_quotes_gpc()){$string=mysql_real_escape_string($string);}$pattern=array("\\'","\\\"","\\\\","\\0");$replace=array("","","","");if(preg_match("/[\\\\'\"\\0]/",str_replace($pattern,$replace,$string)))$string=addslashes($s

其意 MySQL code string 引号 php security sql-injection

MySql 数据库被黑，不是注入(inject)

三周前，我在PasteBin上找到了我网站的用户列表和信息，泄露了所有隐私。我运行更新并防止SQL注入(inject)。我还添加了一个预请求，以便在需要用户输入时将SQL以文本格式保存在LOG表中，以便在我的保护不够时能够分析任何注入(inject)。然后今天，同一篇文章又出现在粘贴站上，其中包含最近的条目，所以我检查了日志表，只找到干净的条目。除了注入(inject)，还有什么我应该担心的吗？网络似乎只提供有关注入(inject)的信息!他们是否可以访问服务器上php文件中的dbpassword，他们是否可以从外部服务器连接？我应该经常更改数据库密码吗？是否有任何非脚本明智的解决方案

inject MySql section 的 database security

216 217 218219220 221 222