草庐IT

SECURITY

全部标签

php - 在 php 中生成加密安全的随机数

PHP的rand()函数不能提供良好的随机数。所以我开始使用据说可以提供更好结果的mt_rand()。但这些结果有多好?有什么方法可以再改进一下吗?我的想法:functionrand_best($min,$max){$generated=array();for($i=0;$i这应该会为您提供“完美”的随机数,不是吗? 最佳答案 Pseudorandomnumbergenerators(PRNG)是非常复杂的野兽。没有真正的“完美”随机数生成器——事实上,数学函数所能做的最好的就是伪随机——它们对于大多数意图和目的来说似乎足够随机。事

php - 在 php 中生成加密安全的随机数

PHP的rand()函数不能提供良好的随机数。所以我开始使用据说可以提供更好结果的mt_rand()。但这些结果有多好?有什么方法可以再改进一下吗?我的想法:functionrand_best($min,$max){$generated=array();for($i=0;$i这应该会为您提供“完美”的随机数,不是吗? 最佳答案 Pseudorandomnumbergenerators(PRNG)是非常复杂的野兽。没有真正的“完美”随机数生成器——事实上,数学函数所能做的最好的就是伪随机——它们对于大多数意图和目的来说似乎足够随机。事

php - 有什么方法可以阻止人们上传带有注入(inject)的 GIF 动图?

我有一个PHP网站,人们可以在其中填写帮助单。它允许他们上传他们的票证的截图。我允许上传gif、psd、bmp、jpg、png、tif。收到上传后,PHP脚本会忽略文件扩展名。它仅使用MIME信息来标识文件类型,对于这些文件类型,MIME信息始终存储在文件的前12个字节中。有人上传了几个GIF,当用浏览器查看时,浏览器说它无效,我的病毒扫描程序提醒我这是注入(inject)(或类似的东西)。请参阅下面的包含这些GIF的zip文件。我认为只检查header信息是不够的。我听说图像可以完全有效,但也包含漏洞利用代码。所以我有两个基本问题:有谁知道他们是如何将不良内容注入(inject)GI

php - 有什么方法可以阻止人们上传带有注入(inject)的 GIF 动图?

我有一个PHP网站,人们可以在其中填写帮助单。它允许他们上传他们的票证的截图。我允许上传gif、psd、bmp、jpg、png、tif。收到上传后,PHP脚本会忽略文件扩展名。它仅使用MIME信息来标识文件类型,对于这些文件类型,MIME信息始终存储在文件的前12个字节中。有人上传了几个GIF,当用浏览器查看时,浏览器说它无效,我的病毒扫描程序提醒我这是注入(inject)(或类似的东西)。请参阅下面的包含这些GIF的zip文件。我认为只检查header信息是不够的。我听说图像可以完全有效,但也包含漏洞利用代码。所以我有两个基本问题:有谁知道他们是如何将不良内容注入(inject)GI

php - 是否可以用已知盐攻击用户密码

有人告诉我电子邮件是一种劣质盐,因为它不是唯一的并且与用户相关。如果用户在2个站点上使用相同的密码,则哈希值将相等。那么,它有什么问题呢?什么是攻击场景?假设我们有散列和盐。因此,其他站点在其数据库中具有相同的哈希值。我们怎么能在其他网站上对这个用户造成任何伤害?我们可以吗?我看不到任何可能性,但我不是安全专家,所以,我想听听那些当然有实际和具体答案的人的意见。/p>我不会破坏任何东西。我在这个问题的背景下问这个问题:电子邮件或(注册时间戳)是一个很好的盐吗?请提供一些实用的答案。 最佳答案 盐的意义不是未知的,它是为了防止攻击者将

php - 是否可以用已知盐攻击用户密码

有人告诉我电子邮件是一种劣质盐,因为它不是唯一的并且与用户相关。如果用户在2个站点上使用相同的密码,则哈希值将相等。那么,它有什么问题呢?什么是攻击场景?假设我们有散列和盐。因此,其他站点在其数据库中具有相同的哈希值。我们怎么能在其他网站上对这个用户造成任何伤害?我们可以吗?我看不到任何可能性,但我不是安全专家,所以,我想听听那些当然有实际和具体答案的人的意见。/p>我不会破坏任何东西。我在这个问题的背景下问这个问题:电子邮件或(注册时间戳)是一个很好的盐吗?请提供一些实用的答案。 最佳答案 盐的意义不是未知的,它是为了防止攻击者将

php - PHP 中的暴力/DoS 预防

关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭2年前。Improvethisquestion我正在尝试编写一个脚本来防止在我正在构建的网站中进行暴力登录尝试。逻辑是这样的:用户发送登录信息。检查用户名和密码是否正确如果是,让他们进来。如果否,则在数据库中记录一次失败的尝试。检查给定时间范围内是否有太多失败(例如:5分钟内5次):如果是,则暂停执行10秒:sleep(10),然后向用户报告登录失败。立即向用户报告登录失败向一位同事解释这一点时,有人问我,如果黑客在一秒钟内发送1000个请求

php - PHP 中的暴力/DoS 预防

关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭2年前。Improvethisquestion我正在尝试编写一个脚本来防止在我正在构建的网站中进行暴力登录尝试。逻辑是这样的:用户发送登录信息。检查用户名和密码是否正确如果是,让他们进来。如果否,则在数据库中记录一次失败的尝试。检查给定时间范围内是否有太多失败(例如:5分钟内5次):如果是,则暂停执行10秒:sleep(10),然后向用户报告登录失败。立即向用户报告登录失败向一位同事解释这一点时,有人问我,如果黑客在一秒钟内发送1000个请求

php - PHP网站如何防止多次登录

我想防止在php应用程序中进行多次登录。首先,我在用户表中创建登录状态(事件、非事件)。当用户A登录时,用户状态将设置为“事件”,如果用户注销,则状态将设置为“非事件”。当另一个客户端尝试使用相同的用户帐户登录时,我检查用户表。如果用户仍处于事件状态,则会将错误登录信息发送给用户。问题出现了,如果用户关闭浏览器,用户表中的状态可以更新,因为用户没有点击注销。对此您有什么建议吗? 最佳答案 (请注意,虽然这里的技术仍然有些有效;不应逐字复制PHP示例,因为有更安全的方法将用户提供的值合并到SQL查询中)与其存储用户是否活跃/不活跃,不

php - PHP网站如何防止多次登录

我想防止在php应用程序中进行多次登录。首先,我在用户表中创建登录状态(事件、非事件)。当用户A登录时,用户状态将设置为“事件”,如果用户注销,则状态将设置为“非事件”。当另一个客户端尝试使用相同的用户帐户登录时,我检查用户表。如果用户仍处于事件状态,则会将错误登录信息发送给用户。问题出现了,如果用户关闭浏览器,用户表中的状态可以更新,因为用户没有点击注销。对此您有什么建议吗? 最佳答案 (请注意,虽然这里的技术仍然有些有效;不应逐字复制PHP示例,因为有更安全的方法将用户提供的值合并到SQL查询中)与其存储用户是否活跃/不活跃,不