我担心在PHP中从未知url获取内容的安全性。我们基本上会使用cURL从用户提供的url中获取html内容并查找OpenGraph元标记，以将链接显示为内容卡。因为url是用户提供的，所以担心在这个过程中有可能获取到恶意代码。我还有一个问题:curl_exec实际上是将整个文件下载到服务器吗？如果是，那么使用curl时是否可能下载病毒或恶意软件？ 最佳答案 使用cURL类似于使用fopen()和fread()从文件中获取内容。安全与否，取决于您对获取的内容执行的操作。根据您的描述，您的服务器作为某种中介从获取的HTML内容中提取特定

这个问题在这里已经有了答案:SessionhijackingandPHP(3个答案)关闭4年前。Thisarticle指出IfyoursiteisrunonasharedWebserver,beawarethatanysessionvariablescaneasilybeviewedbyanyotherusersonthesameserver.在像GoDaddy这样的大型主机上，真的没有针对这种情况的保护措施吗？真的有那么容易吗？如果有那么简单，我的主机上其他用户的session变量在哪里，以便我可以查看它们？

在银行网站上填写安全表格时，我一直想知道他们如何知道他们的应用程序是完全安全的。当然，您知道您使用的是SSL，您的帐户“应该”是安全的，并且希望安全问题、帐户限制、超时等应该能保证您的帐户安全。但是测试这个的最好方法是什么？什么决定了您的应用程序的“安全”程度？如果您的代码中某处存在错误怎么办，那么无论您采取多少保护措施都没有关系。我最近为一个网站创建了一个登录名，该登录名将在15分钟后自动注销用户，将在3次尝试失败后锁定他们的帐户，包含一个安全问题，并在SSL上运行。但我需要知道是什么决定了程序的安全性。感谢您的帮助!大都会编辑主要问题是。“测试PHP安全性的最佳方法是什么”。是否有

有什么好处吗sha1(sha1(sha1($password.$salt)));基本上有多个sha1与只有一个sha1sha1($password.$salt); 最佳答案 不要，我再说一遍，不要尝试通过对您的哈希执行“特殊”操作来使您的密码哈希更安全。首先，sha1(sha1(sha1($input)))每次迭代的副作用只有增加碰撞的机会*。增加碰撞的机会是一件非常糟糕的事情。与其亲自动手尝试密码学，何不相信该领域真正的专家制作的库？使用PortablePHPpasswordhashingframework.PHPass实际上使用

我们在网络树的根目录中有一个自定义的php.ini和.htaccess文件。默认无法访问.htaccess，但可以访问php.ini。例如:http://example.com/php.ini阻止访问php.ini文件的重新启动程序是什么？ 最佳答案 此外，如果您必须将它放在公用文件夹中，请尝试:orderallow,denydenyfromall 关于php-阻止访问php.ini文件，我们在StackOverflow上找到一个类似的问题： https://

我一直在'洒水'htmlentities($user_input,ENT_QUOTES,'UTF-8')在我的整个View中，我到处回显用户有机会在我的应用中输入的数据。这非常乏味，我想知道在我的Controller中使用HTMLPurifier是否可以安全地替代使用htmlentities在每个echo在View上。例如，我注意到HTMLPurifier会单独尝试关闭一个打开的而不是删除它，所以如果一些聪明人把他的名字输入为Johnny和我echo在我看来，它破坏了我的整个布局。但如果我改用htmlentities我一个人得到Johnny并且我的布局被保留。所以我想知道这是否是HTM

以这种方式在登录或注册类中调用__construct()是否安全:function__construct(PDO$DBH,$_POST['1'],$_POST['2']){$this->_user=$_POST['1'];$this->_pass=$_POST['2'];$this->_DBH=$DBH;}我想稍后在这个类中清理用户输入，我不确定我的代码是否适合SQL注入(inject)或XSS，因为类是用原始POST输入构造的？ 最佳答案 如果您知道您清理/使用准备好的语句(即原始POST数据未按原样插入查询)，那么这样做很好。事

我正在尝试使用注解来保护我的Controller:namespaceVinny\StreamBundle\Controller;useSymfony\Bundle\FrameworkBundle\Controller\Controller;useJMS\SecurityExtraBundle\Annotation\Secure;useSensio\Bundle\FrameworkExtraBundle\Configuration\Route;classHomeControllerextendsController{/***@Route("/home",name="home")*@Sec

关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题editingthispost.关闭8年前。Improvethisquestion我不确定是否可以问这个问题，所以请随意将我的问题移到别处或关闭它。有人告诉我，只有当浏览器上发生诸如拖放之类的显式事件并为其提供文件句柄时，Javascript才能从磁盘写入和读取。在Mega(例如上传)的情况下，当您点击下载时，您直接将文件保存到磁盘，而无需保存或安装任何浏览器扩展程序。它是Javascript还是HTML5的一个特性，因为在我看来，在这种情况下这意味着一个可怕的安全问题。编辑1:所以我

我在一个网站上工作，该网站具有根据ID更新和删除数据的功能。现在我担心的是我的url会是www.example.com/public/controller/action/1如果操作是删除，任何人都可以在url中将id从1更改为2，id为2的数据将被删除。保持流程安全的最佳方法是什么。我正在使用Zf2和Doctrine2...请提出任何建议!此外，我将id隐藏在字段中，任何人都可以使用firebug来更改字段中的值，是否有任何方法可以保护数据不受其影响？是否有任何加密-解密方式可以确保它的安全，就像如果有人甚至编辑加密值，解密后它不会产生所需的ID？哪个好？