目前我正在将我的登录系统与RSA类(在PHP中实现RSA算法的类)连接起来。我已经阅读了有关该算法的一些信息，尽管我对此有一些疑问，希望有人能够澄清它们。RSA在两个key上运行-公钥和私钥，两者都是使用算法生成的。这些key是否仅生成一次然后包含到站点代码中(一个在管理员站点上，一个在用户站点上)？实现它的主要思想是在网站上让登录表单的login.php变成一个公钥代码，当发送登录名和密码进行验证时，用公钥加密它们。在服务器端，此消息将使用私钥解密并检查信息是否正确并发回真/假信息。你能告诉我它的使用安全和正确吗？ 最佳答案 只需

我正在散列密码、在读取session数据时匹配用户代理，以及安全登录用户所需的一切。我对安全检索/读取session数据的方法很感兴趣。例如，我正在使用一个从session数据数组中获取用户ID的函数...在数据库表中:a:6:{s:9:"user_data";s:0:"";s:7:"user_id";s:1:"3";s:9:"firstname";s:4:"Tina";s:8:"lastname";s:3:"Fey";s:8:"username";s:8:"lizlemon";s:6:"status";s:1:"1";}函数(代码点火器):functionget_user_id(){

这个问题在这里已经有了答案:PHPsanitizeuserdataforuseinheader()function(3个答案)关闭10个月前。我有时会像这样在php函数header中使用用户数据:header('Location:test'.$user_data);我过去常常删除\n和\r以防止header注入(inject)，但是否还有其他换行符？我在我的示例中写了Location，但它可以是其他东西，我知道我必须验证和清理URL，我的问题是关于标题中的新行。

我将制作一个简单的网络应用程序。它最多只有几页，应用程序的主要重点是调用API并使用该信息执行操作。我想知道确保apikey安全的最佳方法是什么。我可以使用非常轻量级的框架吗？我应该只在根目录下创建一个php页面吗？我可以使用codeigniter构建一些东西，但这似乎无法满足我的需要。 最佳答案 将APIkey保存在Web根目录之外的文件中。然后将该文件包含在需要使用它的任何文件中。通过将其置于Web根目录之外，无法通过Web浏览器或其他类似方式直接访问它。 关于php-如何安全地使用

我是一名技术作家，曾编写过大量HTML/CSS，但曾被投入高压锅中用PHP重写Web应用程序，并且做得相当不错，但我有点担心安全性。具体来说，主页是INDEX.PHP，用户登录的地方。一旦他们登录，页面会重写自身的部分内容，并显示未登录用户不可用的菜单选项。大约50%用户将永远不需要登录，因为他们将查看不需要安全性的公共(public)文档。其他50%的用户将限制对某些文档/页面的查看访问，并能够写入数据库。我的所有这些工作正常，但我担心我正在做的两件事以及它们是否正确:登录用户可能会被重定向到另一个页面，例如PAGE1.PHP。我不希望他们能够保存PAGE1.PHP的URL并直接转到

我正在使用PhoneGap开发一个移动应用程序，它将通过ajax请求与服务器(PHP)通信。在服务器端(PHP)类似于https://example.com/retrieveData.php将通过$_POST['user_id']获取用户ID，并以JSON格式返回有关用户的一些敏感信息。在客户端(PhoneGap-Javascript)JSON输出将被解析并在应用程序中使用。我担心的是，如果有人窃取了这个url(https://example.com/retrieveData.php)，他可以手动发送虚​​假的post请求并窃取返回的用户信息吗？我怎样才能保证这种通信的安全？

很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visitthehelpcenter.关闭10年前。我们需要您帮助解决一个PHP项目客户端限制问题。他想从服务器上下载完整的安全视频，他希望视频存储在公共(public)目录之外，视频流必须是HTML5，没有Flash。我有一个解决方案，在php缓冲区中加载视频并响应它更改标题信息，但是视频大小，或多或少300MB无法在PHP缓冲区中加载...有什么好主意吗？

我正在开发一个CRM，它将具有高级授权和在系统中具有特定角色的组中管理用户的功能。基本上，我想做的是:管理(领域)模型/Controller/操作的动态授权管理对象和字段的动态授权。我知道security.yml文件中的ROLE_xxxx，但我不想对角色进行硬编码。例如，我想要一种矩阵/网格，super管理员可以在其中创建自定义授权角色。其中一个角色可能是:“团队负责人”可以查看和编辑员工的电子邮件地址，但不能查看或编辑Employee_Wage字段。另一个用例是用户组“Accounting”中的用户可以调用操作generateInvoiceAction()但他无法访问操作create

我有一个带有sfGuardUser插件的symfony1应用程序。我需要在我的新symfony2应用程序中使用相同的数据库。我应该如何定义密码编码器以匹配symfony1编码的密码？ 最佳答案 如果您当时没有提供不同的编码算法，那么Symfony1.x将使用sha1($salt.$rawPassword)。所以你的PasswordEncoder应该是这样的:useSymfony\Component\Security\Core\Encoder\PasswordEncoderInterface;classPasswordEncoderi

我在使用PHP做一些非常基本的session安全类型的事情时遇到了困难:从未验证的上下文切换到已验证的上下文时，应生成新的sessionID从经过身份验证的上下文切换到未经过身份验证的上下文时，应生成一个新的sessionID我想做的不仅是在切换上下文时重新生成sessionID，而且在切换这些上下文时立即将某些内容(例如FLASH)放入session中。希望这三页能阐明我的期望:Page2因此，当显示此页面时，我希望看到INFO1出现。我还希望当我回到这里时不会看到INFO2出现。如果我还没有sessionID，我希望获得一个(我有)。这最类似于注销功能-我们通过将TRUE传递给se