我是PHP的新手，我已经阅读了很多关于cookie和session的教程，但是我对一些事情不是很清楚:session值存储在服务器上，只有sessionID存储在用户计算机中。对吧？我可以建立一个永不过期的session，永远不会从服务器中删除并将sessionID保存在cookie中吗？如果是，怎么办？(请提供一些代码)在cookie中存储密码等数据不好，因为cookie不安全？对吧？黑客有可能使用另一个用户的sessionID创建cookie吗？黑客能否猜出session的sessionID，或者更糟的是，猜出每个sessionID的列表？对于可以记住用户的良好登录系统(用于用户拥

我找不到任何关于似乎困扰旧版本PHP的“函数中断”漏洞的Material。有人对此事有很好的消息来源吗？一个好的来源是描述攻击/为什么某些php函数容易受到攻击的东西？ 最佳答案 谷歌搜索2秒:http://www.php-security.org/MOPB/MOPB-37-2007.html和https://bugzilla.redhat.com/show_bug.cgi?id=619324 关于php-功能中断，我们在StackOverflow上找到一个类似的问题：

看完网站上的一篇文章后，我真的很担心自己服务器的安全......在一个PHP文件中，该文件后来包含在我向用户显示的所有主要php页面中，我的用户名和密码(在我的整个网站上使用-服务器根目录，mysql根目录等)以纯文本插入...有什么可担心的吗？任何人都可以读取php文件(比如下载它并读取它而不是让服务器执行它)吗？是否存在我的用户名和密码被盗的风险？它们是为变量提供值的简单文本字段。如果是这样，您有什么建议的解决方案吗？像一个加密引擎？还是什么？提前致谢! 最佳答案 将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外。例如

我有一个脚本，用户可以输入一个图像URL(来自另一个网站)，然后使用JS裁剪它并将它保存在我的服务器上。我的问题是...从另一台服务器获取图像时，使用CURL还是allow_url_fopen(通过file_get_contents())更安全？或者是否有首选/更安全的方法可用？安全是我的一个大问题，因为我知道这是一个非常危险的过程-如果这会产生影响，脚本将只需要对图像文件起作用。谢谢 最佳答案 curl的错误处理比file_get_contents()好得多。如果您关心这一点，那么curl可能是您的不二之选。不过，如果简单的“哎呀

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visitthehelpcenter指导。关闭11年前。我在php中浏览了各种防止session固定和劫持的方法，但我发现很难找出我可以依赖的最佳方法。喜欢防止sql注入(inject)的大部分开发者建议使用prepare语句。它可以有效地防止大部分的sql注入(inject)攻击。在防止session攻击方面，是否有任何此类代码、函数或代码段可以最好、快速和简单地使用。请分享。谢谢你们。

感谢您的所有帮助-请参阅下面的原始问题，以及我按照两行规则进行的编辑(作为新用户，我还不能回答我自己的问题......)。我环顾四周，问题(here)几乎符合我的问题目标:例如，我正在为Web应用程序上的每个用户创建一个用户数据目录；该文件夹当然必须是唯一的，但也是抽象的安全性(例如，使用他们的用户ID是不合适的。到目前为止，我已经创建了以下函数；它生成一个唯一的文件夹名称，检查以确保它不存在并将其分配给一个变量。如果目录已经存在，它然后循环返回:functiongenerate_unique_userDirectory(){$userDirectory=md5(uniqid($uid

我正在为面向大学的网站设计一个网站，但在设计“忘记登录”序列背后的业务逻辑时遇到了一些麻烦。用户通过他们的大学电子邮件注册，因此如果他们忘记了密码，可以将密码通过电子邮件发送到他们的大学电子邮件。然而，问题是当用户不再拥有此电子邮件并尝试登录时，他们可以在大学毕业后返回。如果他们忘记了密码，则无法通过电子邮件发送密码，因为他们不再拥有此电子邮件地址。我的老板希望我实现一个系统来询问一些识别问题，例如名字/姓氏、出生日期和他们在初次登录时回答的“最喜欢的”问题。这对我来说似乎真的很糟糕，因为1)这是“希望它是”安全性，以及2)该网站拥有极其私有(private)的信息有没有人对此有任何想

我很难找到一种方法来从PHP访问Windows上的安全随机数，这种方法很有可能在任何给定安装上工作。许多Windows安装都没有openssl或禁用它，因此openssl_random_pseudo_bytes()通常不起作用。当mycrypt扩展不可用时，mcrypt_create_iv()会出现同样的问题。session_id()(将session.entropy_length设置为合理的数字)是另一条路线，但安全模式有时会禁用重新生成和获取sessionID所需的功能。newCOM('CAPICOM.Utilities.1')->GetRandom()有点过时(仅限Win32)并

在PHP中，远程文件包含可以通过来自$_GET、$_POST、$_COOKIE的输入进行。我知道这是不可能的，但是否有可能(有机会)伪造来自$_SERVER的值？我的意思是，即使在极少数情况下，$_SERVER也能成为远程文件包含的来源吗？ 最佳答案 $_SERVER是一个数组，包含用于访问请求的路径、header等信息。许多值由用户直接设置和操作(例如QUERY_STRING)，因此它可能会以与$_GET和$_POST完全相同的方式受到攻击。不过，这取决于您如何在自己的代码中使用这些值。您是否有不想伪造的特定$_SERVER索引？

我刚刚和一个同事吵架了。我的index.php包含我的mysql连接，因此也包含主机、用户名、密码和数据库名称。他声称这是一个安全线程，因为php解析器可能会失败，这会导致网络服务器将整个文件作为纯文本返回。然而，我相信如果php解析器失败，网络服务器会给用户一个内部服务器错误。谁能确认它是否存在安全风险？谢谢。 最佳答案 简短的回答是否定的。长答案是肯定的，但前提是:您的服务器已被入侵，在这种情况下，阅读您的php文件的人是您最不担心的您错误地配置了服务器来解析.php文件和纯文本，这确实非常愚蠢。此外，如果您正在使用某种版本控制