我正在开发我的第一个基于PHP的网站，我想知道用户名/密码系统有哪些解决方案？我曾尝试使用.htaccess文件来实现基本安全，虽然它有效，但我希望外行人可以更轻松地管理一些东西。还有其他我可以尝试的解决方案吗？我没有可用的数据库服务器，所以它必须支持平面文件数据库...谢谢!编辑我确定我确实有SQLite支持，所以我有一个可用的数据库选项。另外，我觉得我应该进一步提一下我的一些要求。我最初希望使用.htaccess来保护我的网站，因为我需要整个目录的安全性。我试图保护的大多数文件都是.pdf和.doc...任何解决方案都必须允许我保护这些文件以及目录中的任何网页。如果我能找到一个好的

在多步骤表单流程中，我收到一个URL作为表单字段。处理后，我的PHP脚本使用header("Location:...");重定向到该地址除了可能被滥用为色情网站的重定向服务以在电子邮件中生成看似无害的链接(打开重定向，通过将URL与本地域匹配可以帮助解决此问题),在此过程中是否有任何需要注意的黑客/利用危险？想到的一件事是将换行符偷运到URL中，这可能会打开向客户端发送任意header的可能性。 最佳答案 在旧版本的PHP中，您不得不担心CRLF注入(inject)，即\r\n。这是一个“header响应拆分漏洞”。如果你去掉这些字

我有一个包含用户ID、用户名和密码的mysql表，如果给定的密码与给定的用户名匹配，我将创建3个cookie:用户名用户名userpassword(md5)-我创建它是因为当用户保存重要设置时(不要求用户填写表格)我会从cookie中重新检查密码和用户名。我听说这不安全，我应该只使用cookie来存储sessionID，并将此数据存储在session中，但代码看起来如何？请解释一下代码，因为我是PHP的初学者。哦，我想长期记住用户，我不喜欢每次都需要重新登录的网站。请帮助我并解释为什么一种方法比其他方法更安全？谢谢!感谢您的回答!我需要回答我的问题:我的网站不需要比简单论坛更高的安全性

我有一个简单的表单，想验证发布的值是否来自该表单的目录，而不是来自外部来源。"method="POST">我需要在session中存储一些东西吗？一个简单的例子将非常有帮助。谢谢。 最佳答案 创建表单时，您可以使用:"method="POST">"/>当有人发帖时，您需要检查发帖请求是否具有正确的哈希值。你可以使用: 关于php-形成邮政安全。确保它不是来自外部来源，我们在StackOverflow上找到一个类似的问题： https://stackoverfl

如何防止用户发送垃圾邮件请求？例如，通过Ajaxpost提交表单。使用Firebug我可以看到发布请求，但我注意到可以通过右键单击它并选择“在新选项卡中打开”来轻松重复此请求我如何防止这样的事情发生？ 最佳答案 当有效用户登录或开始session时，生成随机token字符串并将其放置在隐藏的表单字段中。每次有效用户发布有效帖子时，生成一个随机token字符串并将其存储在$_SESSION中，同时将其返回给客户端浏览器。当浏览器发出另一个Ajax发布请求时，它还必须发送您与$_SESSION进行比较的token字符串。这样，如果您的服

我使用基于LAMP的网站，尤其是Drupal，想知道是否有人知道一个好的安全检查表来帮助审计新的和现有的商业网站的安全漏洞？干杯。 最佳答案 Web应用程序安全的最佳资源无疑是OWASPTop10.OWASP是一个非营利性、技术无关的组织，致力于提高Web应用程序的安全性。他们制作了一份名为“十大最关键的Web应用程序安全风险”的文档，该文档非常容易使用，应该涵盖您需要了解的电子商务应用程序的每个角度。我建议仔细阅读Top10中的每一个(PDF版本非常方便-每页1个风险)，了解风险和影响，然后确保您知道如何在PHP中适本地减轻这种风

我计划让网站用户上传他们自己的SVG文档并用inkscape渲染它们。或svg2pdf.用户要么未经身份验证，要么经历一个简单的注册过程，所以我预计会有一些黑客尝试。因此，我应该感谢任何有关我可以执行哪些过滤以最大程度地减少安全威胁的指示。Inkscape似乎并没有被JavaScriptonloadtags困扰并愉快地呈现内容而没有任何意外发生(也就是说，我无法让Firefox10使用这种方法弹出警告框)。我担心标记可以使用外部URI链接到一个巨大的或格式错误的位图图像——理论上这可能会使服务崩溃。有没有一种简单的方法可以遍历XML文档来过滤这些？当然，我可以使用XMLReader轻松

我已经制作了实现这个自定义ACL系统所需的数据库和php代码。现在我必须“授权”当前用户，这就是我需要您的建议的地方。该系统基于对系统用户和系统模块的灵活权限分配。它也有一些预定义的，比方说用户组，还能够创建完全自定义的组。全局规则也可以应用在ACL之上，但它的优先级最低，高于分配给组或用户的权限。为了更好地描绘它:预定义组:受限(无访问权限)基本用户super用户管理员访问者(自定义组的样本)以下是访问级别(名称/值对):不允许/0允许/1拒绝/2如果所有者/3允许注意:“允许”在“禁止”上具有更高的优先级，因此如果您的用户X在A组上处于“不允许”状态，但在特定访问权限上对B组处于“

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。这个问题似乎与helpcenter中定义的范围内的编程无关。.关闭8年前。Improvethisquestion我在我的网站中使用$_SERVER['HTTP_HOST']作为绝对URL路径。但是，我经常会发现带有未定义HTTP_HOST的HTTP/1.0请求的nginx错误日志。是否建议阻止这些请求？阻止它们的最佳方法是什么？

有一些很好的文章解释了CSP的选项，例如:http://www.html5rocks.com/en/tutorials/security/content-security-policy/也许这很明显，因为我找不到任何好的示例，但您如何在实践中实际实现CSP？在PHP中，您可以在您提供的页面上设置header，但是如果您只有一个HTML文件怎么办？你必须通过你的网络服务器、apache或类似的东西来做吗？这似乎不是一个简单的方法。此处的最佳做法是什么？提供的每个单独页面都应该手动设置标题吗？谢谢! 最佳答案 归根结底，选择权在您。您可