我见过许多声称拥有银行级安全加密的网站。如果他们的网站是用php构建的，那么除了使用mysql_real_escape_string和128位ssl加密之外，还有哪些其他形式的安全措施可以存在？ 最佳答案 当一家公司宣传“政府实力”或“银行级”安全时，他们可能在谈论FIPS140加密标准。大多数情况下，密码学并不是保护现实世界系统的问题。例如这个USBKey非常脆弱，它使用了AES256的“FIPS140”卖点!一个128位的数字是巨大的，它的AES128符合FIPS140。拥有更多的比特只是阴茎测量比赛。美国政府很难成为安全的榜样

我有一个分类网站，每个分类里面都有一个小表格。这个表单是为了让用户能够给他们的“friend”打赏:Tip:"name="ad_id2"id="ad_id2"/>"name="headline2"id="headline2"/>然后将表单提交到tip.php页面，这是我的问题，下面的代码是否安全，即它是否足够好，还是我需要做一些卫生和更多安全细节？$to=filter_var($_POST['email2'],FILTER_SANITIZE_EMAIL);$ad_id=$_POST['ad_id2'];$headline=$_POST['headline2'];$subject='Yo

我在WordPress中创建了一个主题，该主题在HostGator上触发了mod_security规则并给出了403错误。我联系了那里的人(在HostGator)，他们帮我修好了。但我不希望我的主题像这样工作。我只是想知道是否有关于编写对mod_security友好的PHP代码的指南/博客文章/教程？我试过谷歌，但没有找到任何有用的东西。 最佳答案 我不确定是否有很多指南，特别是因为mod_security配置因服务器而异。我最推荐的是看一下CoreRuleSetProject.那里有很多规则。他们有很多。一些一般要避免的事情是:在

是否有普遍接受的模式(或类库等)来限制PHPMVC应用程序的某些表单提交？我特别想到这样一种情况:有人对您的一种登录表单进行字典攻击，而您想在Y秒内发出X次请求后或检测到某种请求模式后阻止它们。具体问题:是否有任何框架内置了此功能？如果不是，在基于Web的PHPMVC架构中实现它的常用方法是什么？这是应该在应用层处理的事情，还是应该由网络服务器本身来处理这种渎职行为？我可以想出很多方法来实现这一点，但似乎所有应用程序都应该具备的东西，因此应该已经存在通用解决方案。 最佳答案 我不知道正式模式，但入侵预防有几种标准技术:为响应不成功的

多次登录的session结构应该是什么样的？在我的网站上会有三个部分的登录。/(客户专区)/admin/(后端/管理区)/control-panel/(控制面板区域)您不能使用同一个帐户访问所有三个。我是这样想的:$_SESSION['login']['frontend']=array('user_id'=>123,'is_logged'=>true);$_SESSION['login']['backend']=array('user_id'=>999,'is_logged'=>true);这是正确的还是什么替代解决方案？ 最佳答案

我正在实现服务器到服务器的通信，应该(可能)看起来像这样:客户端(网络浏览器)(网络应用)服务器(服务客户端)(服务应用)中央服务器一些客户端请求在本地处理，一些作为远程服务调用(不是RPC)执行。对中央服务器的请求格式为HTTPSPOST，然后使用cURL发送；服务器回复适当的JSON消息。问题是，我使用的是HTTPS，每次执行服务查询时，证书验证都需要一些额外的时间。可以重新使用cURL句柄并发送“keep-alive”连接header，但是......在当前的MVC实现中，每个新的客户端请求都会产生新的Web应用程序实例(和相应的服务客户端)-意思是，句柄是重新-初始化并重新建立

我目前正在将NABTransact支付网关集成到电子商务商店中。处理完付款后，NABTransact系统会向我们的端点发送POST请求，以便我们处理结果。问题是POST请求不包含我们可以用来回发到NABTransact系统以验证请求是真实的而不是欺骗性的安全哈希/token。更糟糕的是，NABTransact系统甚至没有用于任何信息的任何身份验证的API，从本质上讲，安全性非常差!有没有办法安全地验证这些请求？例如，检查请求是否来自NAB交易系统运行的已知IP地址列表？还是反向查一个IP？有哪些选项？您将如何在PHP中实现它？IP身份验证不是很安全，因为它可以被欺骗吗？

当我的页面以https加载时，我在IE9中遇到错误，它不像这里的其他线程那样从ex加载内容。http://googleapis..我已经将所有链接都切换为协议(protocol)相关的，所以只是//googleapis..我得到的错误来self页面上的图片，它是从域中加载的；/images/img.jpg">这将产生一个https链接，这就是我感到困惑的地方，即IE所说的:SEC7111:HTTPSsecurityiscompromisedbyhttps://mydomain.se/images/img.jpg如果链接只是http://，我会买它，而且我有一堆其他图片效果很好，当然我只

我需要允许站点用户提供远程“热链接”图像。我意识到这有点危险，所以这是目前的程序:1)解析使用PHPpathinfo提供的路径，并将路径分成几部分(主机、文件名、扩展名)，然后正确转义。2)按照此处所述对图像header执行curl请求:HowcanonechecktoseeifaremotefileexistsusingPHP?并验证它是否具有有效的png或jpgmime类型和HTTP200返回码。3)验证文件名和扩展名(来自上面的路径信息)是一个有效的png或jpg文件(我不接受gif等)4)最后，将图片路径数据存储在DB中的多列中(转义数据)我错过了什么吗？是否还有危险潜伏？我在

我目前正在开发一个使用主从模型的VPS面板。一台主服务器运行一个用PHP编写的面板，并通过SSH管理多个从服务器。从属服务器通过一个受限帐户访问，该帐户可以对特定的服务器管理相关命令执行sudo，并且所有交互都记录在该帐户本身无权访问的目录中。我目前使用的是PHP-SSH2，但这种方法存在一些问题:无法可靠地返回退出代码，因此所有命令都必须在包装脚本中执行，该脚本将标准输出、标准错误和退出代码打包到一个JSON对象中，并通过标准输出返回。该脚本必须存在于每个从属服务器上。PHP-SSH2库不知道“自定义连接超时”的概念，这意味着我必须在尝试使用PHP-SSH2连接之前使用fsockop