我要写一个安全的登录脚本，请问它应该有什么样的组件。目前我想到的是这些基本使用PDO作为mysql数据库的连接器使用SHA512保护密码(是否应该涉及盐/token？)Session和cookie管理，尽量避免sessionid的劫持(你能给我一些关于它的文章吗？)XSS预防(你能给我推荐一篇文章吗？)输入的SQL注入(inject)预防卫生通过https的安全连接注册在使用reCaptcha注册方面登录计算登录尝试次数并在5次失败尝试后阻止，以防止暴力攻击。登录后具有破坏功能的session计时器(12分钟结束session)，单击以更新计时器[有人有这方面的示例吗？我找不到任何]是

我的页面上有这段代码:header("Location:$page");$page作为GET变量传递给脚本，我需要任何安全措施吗？(如果是的话)我打算只使用addslashes()但这会填满URL... 最佳答案 我可以将你的用户转发到任何我喜欢的地方，如果我让他们点击一个链接，这绝对是一个很大的安全漏洞(请登录www.yoursite.com?page=badsite.com)。现在考虑一个场景，其中badsite.com看起来与您的网站完全一样，只是它捕获了您的用户凭据。最好在代码中定义一个$urls数组，并只将索引传递给该数组

我不确定这是正确的方法，但我将此函数用于输入。例如联系表格:RemoveXSS(mysql_real_escape_string($_POST['input']))但是通过扫描，结果是这样的:ParameterName:QueryBasedParameterType:FullQueryStringAttackPattern:/"ns="alert(0x00058B)单击上面的url时，我在页面中看不到任何内容。但是我的代码还是有问题。///////////functionRemoveXSS($val){$val=preg_replace('/([\x00-\x08,\x0b-\x0c,

我有一个网站，在一个页面上，它从用户计算机读取一个cookie，并将其用作php代码中的一个变量，例如在回显语句中。我目前没有以任何方式清洁cooking。2个问题:有人可以破解他们的cookie以将东西放入我的php代码中吗？如果是，我该如何预防？我该如何清洁它？谢谢! 最佳答案 是的，在客户端编辑cookie非常非常容易。您应该像处理任何其他用户生成的输入一样处理cookie的值:不要相信它并验证它。 关于phpcookie注入(inject)漏洞？，我们在StackOverflow

Tumblr和Blogger等博客提供商允许用户在自己的博客中编写脚本。它使用户可以轻松地将AdSense、Analytics和计数器添加到他们的博客中。如何兼顾安全性和定制化？我应该过滤什么样的脚本？谢谢:) 最佳答案 如果每个博客都将在自己的域中(而不是像blogname.myblog.com这样的共享二级域!)，很可能没有必要过滤任何东西。同源策略将阻止站点访问任何重要内容(例如可能被劫持以侵入其他博客或管理URL的sessioncookie)。恶意用户添加指向受恶意软件感染的站点的iframe或做其他邪恶事情的危险总是存在的

免责声明:我是网络开发新手。场景:我使用CodeIgniter构建了一个应用程序，最好将其描述为事件日历。应用程序中有一个共享功能，允许您与其他人共享您的事件日历。登录后，用户可以前往共享页面，并从与他们共享事件日历的人员列表中进行选择。目前，当用户选择与他们共享事件日历的人的姓名时，会生成以下URI:http://example.com/folder/controller/method/idid部分是数据库中与个人共享日历的用户的owner_id。问题:很容易将URL的id部分更改为数据库中另一个用户的owner_id。这允许这样做的任何人访问未授权共享其事件日历的个人的事件日历。问

在这里写这个可能是我疯了，但我现在太害怕了。我在iPage上托管了2个网站。我两个网站上的所有PHP页面都在今天早上9点左右进行了修改，并且所有页面都具有以下前缀我尝试联系iPage支持，但他们不知道发生了什么。他们刚刚为我创建了一张支持票，将在48小时内进行调查!!更新收到一封关于黑客攻击的电子邮件From:poorvictimhahahaha@gmail.comMessage:Whyisthiscodeonmyserver?whyareyouhackingmyfiles???thiscodepointsbacktoyou!!!Prepareforalawsuitif(!functi

我的一个客户的服务器上感染了数千个文件的病毒。幸运的是，我在这个人的服务器上处理过很多其他恶意软件，这个看起来很容易做简单的正则表达式(他把他所有的网站都放在同一个帐户上:(但我正在和他一起解决这个问题).但基本上，与我见过的大多数恶意软件不同的是，它会在关闭好代码之前注入(inject)php(这使得很难确定什么是好代码/坏代码)，当前的恶意软件总是添加一个新的.所以基本上，假设这里有好的代码:不是在require语句之后但在?>之前立即添加某种base64_decodeeval(当页面恰好以条件/复杂语句结尾时，这会使删除变得困难)，这将始终添加以下代码新像这样:我不想在这里放置任

使用extract($_POST)不安全吗？如果是，那么我该怎么办？ 最佳答案 是的。这与register_globals是一样的。这意味着如果有人注入(inject)一个名为“my_name”的值，变量“my_name”就会存在。如果它存在，如果您在某个地方使用变量$my_name，它可能会在您的脚本中带来一些垃圾或安全问题 关于php-使用extract($_POST)不安全吗？，我们在StackOverflow上找到一个类似的问题： https://st

有没有一种方法可以在不使用realpath()的情况下安全地清理路径输入？目的是防止像../../../../../path/to/file这样的恶意输入$handle=fopen($path.'/'.$filename,'r'); 最佳答案 不确定为什么您不想使用realpath，但路径名清理是一个非常简单的概念，大致如下:如果路径是相对路径(不以/开头)，则在其前面加上当前工作目录和/，使其成为绝对路径。将多个/的所有序列替换为单个(a)。将所有出现的/./替换为/。删除/.如果在末尾。将/anything/../替换为/。删除