我知道这样的问题已经被问过一百遍了,但我的有点不同。我知道所有常见和广为人知的安全问题,如SQL注入(inject)、XSS等。但是那些经常出现但大多数时候未被识别或未被判断为漏洞的问题呢?有吗? 最佳答案 我见过很多作为功能开发但直到为时已晚才被视为安全漏洞的一件事是状态更改GET请求。这些很容易导致cross-siterequestforgery.例如,您的应用程序可能有一个指向http://mysite.com/logout的链接。将用户注销。但是第三方站点可以添加这样的代码:然后当用户加载evil.com上的页面时,他们将退
这听起来像是一个无聊的问题,但安全领域的人会明白这一点。我是否应该让用户输入任意数量的字符,只要它大于0个字符。我的逻辑是:密码无论如何都会被散列和加盐,并且对于做彩虹table的人来说,没有任何长度/其他指导方针会更有趣,但是我担心的是暴力字典攻击。我的做法是否正确?既然问的是下限问题,那还不如问一下上限?同样,它将被散列和加盐,因此数据库大小不是问题。那么在这种情况下,我唯一能想到的问题就是缓冲区,对吧?更新给那些迟到的问题所以普遍的共识似乎证实了我最初的想法,即暴力破解的风险增加了。然而,RTcracker的工作不会因为他们没有关于大小的线索而变得那么困难。事实上,这可能会变得更
functiononeWayEncrypt($string){$salt=md5($string."yHuJ@8&6%4#%([@d-]");$salt2=md5($string."@!#&+-)jU@[yT$@%");$string=hash('sha512',"$salt$string$salt2");return$string;} 最佳答案 使用SHA-512是获得加密强哈希的好主意,但您选择的盐不会增加太多额外的安全性。特别是,盐只有在其值是随机的且无法提前预测时才是好的。这可以防止攻击者预先计算已知散列表来尝试攻击您的数据
我有一台Mac服务器,我正在构建PHP代码以允许用户上传图像、文档甚至视频文件。研究这个肯定让我很紧张,我希望上传的内容没有病毒。自己构建一些东西会是一个巨大的挑战吗?您会这样做,还是会找到一些操作系统或OTS产品?(你知道有什么可以推荐的吗)? 最佳答案 从概念上讲,您所说的非常简单。接受和处理上传非常简单,我认为您绝对不需要为此担心购买预建解决方案。通常像图像和视频之类的东西不会真的有“病毒”(除非查看器应用程序真的很差并且让它们以某种方式运行代码-也称为“InternetExplorer”),但病毒扫描并不难不管怎样,如果
所以,好的。我有很多php文件和一个index.php文件。如果没有index.php文件,所有文件都无法工作,因为我将它们包含在index.php中。例如。如果有人点击ContactusURL会变成类似index.php?id=contact的样子我用$_GET['id']包括contacts.php文件。但是,如果有人找到文件的路径,例如/system/files/contacts.php我不希望该文件被执行。所以,我发现我可以在像这样的index.php行中包含任何文件之前添加$check_hacker=1并使用if在每个这样开头的文件中if($check_hacker1)die
好吧,我有一个网页,其中显示的图像很少。但我的问题是我不希望用户下载或保存这些图像。我可以对这些图像应用水印,但这是替代选项。我也可以禁用右键单击,但如果用户保存页面怎么办?任何替代解决方案也可以吗?希望这个问题很清楚? 最佳答案 如果用户可以看到该图像,则该图像已经在他的计算机上。将其保存到文件或将其复制到剪贴板是微不足道的,并且无法以任何可靠的方式禁用。如果您想控制图像,请不要将其放在互联网上。加水印是您能做的最好的事情。 关于php-如何防止用户下载或保存图像?,我们在StackO
这段php代码有多危险?可以做些什么?$name=$_POST["user"];$pwd=$_POST["pwd"];$query="SELECTname,pwdFROMusersWHEREname='$name'ANDpwd='$pwd'"; 最佳答案 可能出现的问题:SQL注入(inject)XSS注入(inject)(如果这段代码是插入查询,那肯定是个问题)纯文本密码您的SQL语句可能有问题。让自己对SQL注入(inject)开放是不好的做法。SQLInjectionisbad.相信我。如果你想在HTML页面上显示$user,
我目前正在编写一个程序,其中一部分涉及安全地创建密码哈希以存储在数据库中,我遇到了phpass框架,这似乎是强烈推荐的。在phpass中,他们似乎竭尽全力生成一种尽可能真正随机的盐,用于哈希(例如,从/dev/urandom读取)。我的问题是,与简单地使用uniqid()相比,这样做有什么好处?重点不就是确保用于散列的盐彼此不同而不是随机的吗?使用真正随机的盐实际上不会比使用独特的盐更糟糕,因为它可能会产生碰撞而uniqid()不会?编辑:我的问题不是关于计算机环境中是否存在“真正的”随机性,所以也许我措辞有误,但我的问题更多的是“更多”的随机盐是否有任何好处比盐更独特。
在我当前的项目中,我有一个security.php,其中包含一些函数和一些ini_set()语句。ini_set('session.use_trans_sid',0);ini_set('session.use_only_cookies',1);ini_set('session.cookie_secure',1);ini_set('session.hash_function','whirlpool');ini_set('session.cookie_httponly',1);ini_set('session.hash_bits_per_character','5');所以这是我的问题。如
我一直在寻找有关在javascript上下文中使用PHPjson_encode的安全问题,但我对结果并不完全满意我收到了很多关于这样做的警告,但他们总是假设我要将数据从json_encode对象直接注入(inject)到HTML而根本没有任何类型的清理所以,我想知道这个而且只有这个小片段是否存在任何安全问题(比如xss攻击等)varx=;编辑:更改了代码段以处理返回false的json_encode 最佳答案 用那一行代码varx=;...服务器应用程序回显通过“js”键提交给它的数据。发送它的客户端将接收它,因此如果它在某种程度上
