我已经为CodeIgniter构建了一个自定义身份验证系统(我知道有各种可用的第3方库，但这是为了我自己的利益)但我担心我遗漏了一些明显的东西，这可能会导致整个事情失败。我使用CIsession(通过数据库)并加密cookie值以进行一些可能毫无意义的混淆。登录通过SSL进行(并且cookie被修改为仅是安全的)。我还使用phpass来散列存储密码，尽管这在这里并不真正相关。这部分某处可能存在薄弱环节，但我主要担心的是，页面到页面检查基本上由ifis_logged_in=true类型方法及其在session中的用户名组成。这一点让我很担心，因为它似乎有点太“简单”了。这种方法很脆弱吗？

我一直在更新成员(member)页面系统，其中一项要求是允许在某些字段上使用粗体、下划线、斜体、字体颜色和链接，但不允许字体大小或样式-所有这些都与所见即所得的编辑器。这最初是通过文本区域和一些最小的HTML过滤完成的，即删除用preg_replace().我知道这很疯狂而且绝对不安全。我的第一个修改是使用TinyMCE并禁止在TinyMCE中使用某些标签，唯一的问题是显然我不能依赖TinyMCE作为任何类型的验证器，并且我发现保护HTML输入以防止XSS是一个绝对的雷区。我花了最后一个小时左右的时间阅读某些实践，似乎几乎不可能允许某些HTML标签/属性而不弄乱当前的配置文件，并进一步

首先，我想开始说我对PHP一无所知，所以我将不胜感激能得到的所有帮助。所以我在godaddy上托管了一个网站，我在那里为我的客户上传文件。在一位friend的帮助下，我制作了一个带有用户名和密码的简单登录系统。问题是虽然不输入用户名和密码不能访问网站，但是.jpg之类的文件直接在浏览器输入完整链接就可以访问了。我希望它是通过用户网页访问文件的唯一方式。此外，我希望每个用户只能访问自己的文件，而不能访问其他文件。所以这是我的代码，如果需要进行任何其他更改以避免黑客攻击，我将不胜感激。用于输入用户名和密码的表单的index.php文件代码:Login:Password:checklogin

我们有一个简单的php文件来捕获电子邮件。它将这些电子邮件放入一个csv文件(php不可执行)。我们最近有人设法入侵了我们的网站，这似乎是切入点之一，但我不明白这怎么可能。这是脚本:$fh=fopen('cap.csv','a+');fwrite($fh,"\r".$_GET['email']);fclose($fh);很基本吧？无论如何，你能想到利用这个吗？ 最佳答案 是的，但可能不是您要找的。我唯一能做的是:向您的文件添加任何内容，仅附加。(可选/奖励)如果您没有保护文件并窃取所有电子邮件地址，请直接打开文件。它不会让我执行任何

现在我不关心数据传输-没有中间人，那是http和https的工作。据我所知，PHP使用httpcookie识别session。但是，如果有人尝试暴力猜测sessionID，会发生什么？ 最佳答案 可以安全地假设没有什么是安全的..http://en.wikipedia.org/wiki/Session_hijackinghttps://www.owasp.org/index.php/Session_hijacking_attackhttp://www.serversidemagazine.com/php/session-hijack

我目前正在使用FileMaker及其PHPAPI，我必须从网站搜索、插入和更新数据库条目。我真的只是有一个简短的问题。在使用FileMaker数据库时，是否有任何我应该关注的特定安全问题，因为我不认为它使用SQL作为后端语言，所以不会有SQL注入(inject)和类似的事情。很明显，我针对HTML和任意代码清理了所有数据，但是对于SQL注入(inject)之类的事情，除了FileMaker之外，还有什么我应该厌倦的吗？欢迎所有的回答。 最佳答案 FileMakerPHPAPI使用FileMakerServer的XML后端，它只接受已

关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题editingthispost.关闭5年前。Improvethisquestion我在我的电子商务应用程序上使用标准的phppaypal表单进行支付。我注意到只有firebug的人可以在通过“立即付款”按钮发送付款请求之前更改paypal表单数据。所以我想知道，新手可以“编辑”付款表格是否是“标准”:/？我们可以做些什么来防止这种情况发生？

假设我有一个表单，它根据用户在多状态流程中的当前状态更改其内容(字段和选项)。假设它总是导致相同的Action，这意味着该Action需要弄清楚发生了什么事件以及发生在哪个实体上。将此敏感数据传输到Controller的最常见方式是什么？我什至不愿意建议隐藏字段，因为任何人都可以更改这些字段。某种类型的双向加密，然后在操作中解密并用于确定其余部分，服务器端？也许序列化敏感信息，对其进行加密，并将其放入表单客户端的单个隐藏字段中，然后在Controller中解密和反序列化？decrypt($_POST['hiddenData'],SALT));unset($_POST['hiddenDa

我在我的应用程序中使用PHP和ZendFramework。用户可以输入一些HTML，管理员可以看到这个HTML。我想避免XSS注入(inject)。除了任何javascript之外，所有HTML都应按原样显示。我试图删除script标签，但它不安全。用户可以将javascript添加到onclick或其他事件。谢谢。 最佳答案 如果您希望像这样从XSS中清理用户输入，我会考虑使用HTMLpurifier仅删除脚本标签是不够的，您会错过任何人们可以添加的javascript内联，等等。HTMLpurifier但是会为您删除所有内容。从

我正在浏览我的网站并进行安全审核。我只是简单地接受了我需要清理所有用户输入的事实，但我从未真正停下来尝试过真正发生的事情。我现在开始尝试。我在PHP页面上有一个典型的联系表单。这是_POST荷兰国际集团数据。$_POST["first_name"];等等我这样做$firstName=htmlspecialchars($_POST["first_name"]);清理并显示如下所示的消息。echo$firstName.',thankyouforyourinterest.We'llbeintouchsoon!'我开始玩这个，如果我输入类似alert('hello')的东西在名字字段中，htm