SECURITY

php - 无需隐藏所有形式的输入即可防止 CSRF

我想知道我是否可以将crsftoken放入，在元标记或其他东西上，然后在我的服务器上访问它。它确实会简化流程并使其更加透明。我只是不知道怎么办。我真的希望在不涉及javascript的情况下做到这一点。我认为Rails实现了类似的东西......也许使用etags？最佳答案 CSRFpreventioncheatsheet上列出了很多方法.一个不需要在每个表单上都有隐藏字段的是tocheckthereferer.请记住，缺少引用者应被视为CSRF攻击，并且可能会导致某些隐私浏览器插件出现问题(这种情况很少见)。

隐藏所有形 section CSRF noreferrer php html security

php - 回显 SID 有什么危险

关于this它说的页面Thehtmlspecialchars()maybeusedwhenprintingtheSIDinordertopreventXSSrelatedattacks.如果不使用htmlspecialchars()打印SID，有人可能会发起什么攻击？sessionID只能包含数字和字母。我错过了什么吗？最佳答案 sessionID通常存储在客户端(例如，在cookie或GET参数中)，因此它可以被更改-通过一些脚本甚至通过更改URL。现在想象有人能够更改cookie并将SID更改为一些JS代码将您重定向到其他地方

php SID strong section code security session sessionid

php - 如何用 PHP 密码保护上传的 PDF

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭7年前。Improvethisquestion我有一个网络应用程序，用户可以在其中上传PDF文档。是否有可用于密码保护PDF文件的PHP库？我需要库来保留原始PDF的所有方面(即大小、字体、分辨率等)。

密码保护何用 section class notice php security passwords

php - 这个 PostgreSQL 查询容易受到攻击吗？

使用pg_escape_literalPHP函数，我按如下方式转义我的用户输入数据:作为PostgreSQL的新手，我的问题是:有没有办法在给定这段代码的情况下实现SQL注入(inject)？此代码中是否还有其他未处理的漏洞？使用PHP5.4和PostgreSQL9.2。最佳答案由于您不信任任何用户输入并且相应地对其进行了转义，因此其中没有注入(inject)。此外，您可以使用preparedstatements以确保您不会忘记任何转义，并为句子采用正确的数据类型。请记住，如果您只忘记了1次转义，那么您的整个系统都会受到损害，尽

PostgreSQL php section noreferrer security

php - 基于 TLS 的 JSON RPC 是否足够安全？

我打算让PHPWeb服务通过TLS(HTTPS)接受JSON-RPC。每个客户端都有一个APIkey，我将使用该key进行身份识别。这是否足够安全，是否有JSON-RPC安全特定标准？最佳答案这是一种很好的做事方式。以下是您的安全方案中的要求和组件的概述:list这是需要什么安全性以及如何解决它的list:第三方无法窃听您的通信。HTTPS提供了这一点。第三方无法篡改您的通信。HTTPS也提供了这一点。客户端可以验证服务器。HTTPS提供了这个(*)。服务器可以对客户端进行身份验证。客户端认证有很多方法可以验证客户端。这里有几个

JSON php section strong li security ssl json-rpc

php - 使用 extract( $_REQUEST, EXTR_IF_EXISTS ) 安全吗？

在函数(不是类方法)中，如果您事先定义变量，使用extract($_REQUEST,EXTR_IF_EXISTS)是否安全？例子:$a=$b=$c='';extract($_REQUEST,EXTR_IF_EXISTS);或者这会允许PHP全局变量和其他敏感内容被恶意攻击者覆盖吗？最佳答案你可以这样做，但你也可以很容易地避免这样做:$a=isset($_REQUEST['a'])?$_REQUEST['a']:'';$b=isset($_REQUEST['b'])?$_REQUEST['b']:'';$c=isset($_REQ

EXTR_IF_EXISTS extract REQUEST 39 code php security

php - 如何保护通过 CKEditor 提交的数据

我在我的站点中使用CKEditor让用户发表他们的评论。CKEditor有很多按钮来撰写评论。假设如果用户将他的评论设为粗体和斜体SuchLike这是评论然后CKEditor将输出以下htmlThisiscomment现在，如果我将此html存储在mysql数据库中并按原样输出到网页上，而不用htmlspecialchars()对其进行包装，则评论将在页面上以粗体和斜体显示，这就是我想要的。但另一方面，如果我用htmlspecialchars()包装评论并将其显示在网页上，它将显示为Thisiscomment但是我不想这样显示，我想要用户格式化。但是如果我不使用htmlspecialc

CKEditor php code strong section security

PHP 客户端与服务器端

关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题？更新问题，以便editingthispost可以用事实和引用来回答它.关闭9年前。Improvethisquestion我目前正在使用PHP，只是一个初学者，但主要对有关PHP的安全问题感兴趣。我想知道的是“客户端从服务器的PHP文件中看到了什么”。例如，假设您有一张包含所有PHP代码的工作表。您包含该文件并调用您要使用的函数。客户从表格中看到了什么。它只是被调用的函数，只是输出还是其他什么？我之所以感兴趣，是因为我想知道客户是否有可能看到真正执行的是什么。因此，不仅是结果，还有函数本身的内容，例如正在执行

PHP 客户端 section class notice security

php - 如何在发送前获取 curl 请求的时间戳？

这可能是不可能的，但是......我想在发送之前获取CURL请求的请求时间。这里的目标是检查$_SERVER['REQUEST_TIME']我在另一端收到的时间与我发出时的请求时间相同。我试过只用当我发送CURL请求时，但是time()函数在本地返回的时间与$_SERVER['REQUEST_TIME']略有不同.这可能吗？这是我的用例:我想构建一个结合当前时间和盐的随机数并将其发送到我的服务器。服务器可以抓取REQUEST_TIME和盐(来自数据库)来检查交易是否有效。感谢您的帮助! 最佳答案不可行。即使您的服务器与它们的时钟完

何在 curl code section REQUEST_TIME php security

php - 为什么我不应该将我的 PHP 文件放在 public_html 文件夹中？

几天前有人批评我将我的应用程序脚本放在public_html文件夹中。在那之前，我认为755文件权限足以防止我的代码被读取而不是被执行。我不喜欢现在至少一半的应用程序逻辑以JavaScript的形式公开，并且它们来自公用文件夹。但是PHP脚本的真正威胁是什么？最佳答案区别通常是JavaScript代码是不可信代码(或者至少应该是，因为它在客户端上运行)，而PHP代码通常被认为是可信代码(因为它在服务器上运行，用户无法直接干预)。因此，如果发现PHP源代码中的漏洞的人能够利用它，那么他们通常可以获得比发现JavaScript代码中

public_html public section code PHP security

62 63 646566 67 68