我如何清理它以使用户无法将页面拉到本地域之外？ 最佳答案 最安全的方法是将您的页面列入白名单:$page='home.php';$allowedPages=array('one.php','two.php',...);if(!empty($_GET['page'])&&in_array($_GET['page'],$allowedPages))$page=$_GET['page'];include$page; 关于php-如何清理我的包含语句？，我们在StackOverflow上找到一个

我有一个要使用GET提交的表单，这意味着数据会附加到URL中。该表单使用安全token进行保护。我总是被告知表单应该通过POST提交。就我而言，如果使用GET提交表单会发生什么情况？那里有什么安全风险？ 最佳答案 真正的风险是用户能够准确地看到提交给您的服务器的参数，并且不仅可以将该URL添加为书签(以重新提交)，还可以修改该URL以向您的服务器提交其他可能无意义的参数旁白。在某些情况下这是可取的(例如Google使用GET以便可以为搜索添加书签)，在其他情况下这会带来风险(例如登录表单)。在您自己的情况下，这取决于“安全token

这个问题在这里已经有了答案:Whenisevalevilinphp?(20个答案)关闭3年前。我的一个网站最近被黑了。虽然实际网站保持不变，但他们能够以某种方式使用该域创建一个重定向到ebay网络钓鱼诈骗的链接。由于显而易见的原因，我已经关闭了该网站，所以我无法链接到代码。我想知道如何找出他们使用的漏洞，以便将来避免这个问题。该页面使用了PHP，还有一些javascript(用于表单验证)。是否有免费服务可以扫描我的代码以查找漏洞？我还有哪些其他选择？谢谢，杰夫编辑:我已将文件托管在[linkremoved]需要注意的几件事:“funcs”文件夹中有几个文件，其中大部分未被使用，但我将

我一直在寻找方法来模仿我所见过的东西，但我什至不确定从哪里开始或如何搜索它。假设我的页面是:foo.com/和我的索引页面可以采用以下参数:index.php?id=5我想要做的是创建以下内容:foo.com/5/而不是放置index.php?id=5只是使用webstring传递参数，不仅隐藏了它是一个PHP页面的事实，而且还进一步清理了url。这可能吗？干杯 最佳答案 您需要研究URL重写。对于常用的Apache网络服务器，这是通过mod_rewrite完成的。. 关于php-创建一

嘿，你们所有的PHP极客和黑客，如果你们中的一些人听了;o)我正在为一些即将推出的网站创建一个登录系统，我相信很多人会使用它-或者至少我希望如此:)所以，我的问题是:什么时候我的登录系统和类似的东西足够安全？它会“足够安全”吗？我得到了表单验证，我在其中检查了发送到数据库的内容。我的密码是md5散列的。人们被告知要创建强密码。是否有一种叫做:“足够安全”的东西？我在想:所有像facebook之类的大网站，一定比这个多吗？这是我需要的东西吗？如果是这样，怎么办？一些链接和类似的东西，会很好。在此先感谢:o) 最佳答案 安全是一个永无止

对于php中的登录系统，这是一个合适的概述它是如何工作的:用户输入用户名和密码，点击登录按钮。检查用户是否存在于数据库中，如果是，则取回盐对于那个用户散列密码和盐(这会在客户端还是服务器端？我认为客户端会更好，但是php是服务器端所以你会怎么做这个？)对照值检查值数据库，如果值匹配则用户输入了正确的密码并且他们已登录。 最佳答案 Checksifuserexistsindatabase,ifitdoesthenretrievethesaltforthatuserhashthepasswordandsalt没有。这意味着您正在访问数据

我不运营关键任务网站，因此我不在寻找具有工业实力的解决方案。但是，我想防止基本攻击，例如有人在硬盘上模拟错误页面并试图获得未经授权的访问。是否有任何标准技术来确保表单提交只被合法使用所接受？ 最佳答案 一些技术接近:为每个表单生成一个表单key。key将与数据库记录以及页面View的其他独特内容(用户ID、cookie等)相关。如果表单key与该用户/cookie不匹配，则无法发布表单。key仅使用一次，防止自动化工具使用被盗key(针对该用户)再次发布。表单key也可以是共享secret哈希:生成表单的PHP可以对cookie和用

裁剪散列应该意味着丢失它所代表的一些数据，所以我想知道裁剪后的散列是否更难破解，更具体地说，如果存储裁剪后的密码散列用于用户身份验证是一个值得研究的想法。 最佳答案 将这个想法发挥到极致:假设您只存储散列密码的第一个十六进制字符。所有您用户的密码将散列为十六个值之一:0123456789ABCDEF我承认这对于JohnTheRipper来说非常困难暴力破解这些密码，但它也会让某人平均在大约八次尝试中猜出另一个用户的密码。糟糕。如果有的话，您应该存储更长的哈希值。Saltwell相反。 关

我偶然发现了以下特殊性:$handle=fopen(realpath("../folder/files.php"),"r");无法读取文件，但只要我从文件中删除php标签，它变得可读，我的脚本在页面上打印非空文件内容。此外，file.php从未执行过，所以我想知道为什么会出现问题。我猜Apache或PHP不让读取包含php标签的文件PHP只是文本。我如何为我的特定文件启用它(当然在全局范围内这样做是不安全的)？使用PHP5.2.x和Apache2.0 最佳答案 我明白了。我正在使用谷歌浏览器调试页面，我意识到在查看源代码时，Chro

我刚读到这个articleontdwtf.com.通常，它描述了一个归档机器人因为忽略标题而破坏了东西。然后我意识到我不知道如何在没有标题的页面中进行安全处理。因此我的问题是:除了使用header，我还可以采取哪些安全措施？我主要使用php开发，所以我熟悉header("Location:")函数。但是外面还有什么？理想情况下，我希望替换的逻辑if(!$something_important)header("Location:somehereharmless.php");有其他(更)安全的东西吗？ 最佳答案 这个很好用if(!$so