一些托管服务提供商禁用了PHP函数parse_ini_file()。任何在那里使用它的尝试都将失败，并显示错误“parse_ini_file()出于安全原因已被禁用”。这种配置是如此普遍，以至于作为最流行的CMS之一的Joomla避免直接使用parse_ini_file()而是将任务分为两步:使用file_get_contents()读取文件内容使用parse_ini_string()解析值，这是奇怪的允许，因此不被视为安全风险(WTF？)我的问题是，如何使用parse_ini_file()可以被视为安全威胁，或者如何禁用PHP函数parse_ini_file()可以提高安全性？会不会

只是想知道关于PHP托管我应该了解哪些安全注意事项？谢谢 最佳答案 以下是一些事情:禁用eval、passthru、shell_exec等函数远程url注入(inject)，禁用allow_url_fopen禁用register_globals别忘了:你也有责任。编写安全代码，阅读安全教程。PHPSecurityGuide最后按照Rook的建议，您应该运行:PHPSecInfo脚本，用于查看主机的安全设置。http://phpsec.org/projects/phpsecinfo/对于网络托管服务商和开发团队在开发环境中，确保您有适

我一直在试验OpenID，并设置了一个示例网页以使用我的OpenID帐户进行访问。我正在使用PhpOpenIDLibrarybyJanrain它不适用于我的Google帐户。一点研究让我找到了thisquestion，这表明问题在于Google使用https和......it'slikelythesetupformakingHTTPSrequestsisborkedonyourPHPserver.Checktomakesureyouhavetheca-certificatespackageinstalled.在同一个线程中，有人链接到他们的hackedversionofthelibra

我在搜索我要找的东西时遇到了问题。我觉得我最好在这里问，这样我也可以找到我正在尝试的最佳实践或方法。我想制作一个锁定脚本，防止人们多次尝试登录以防止密码破解。我有一个淡入淡入的弹出窗口，这会造成轻微的延迟，但为了防止垃圾邮件和JavaScript被关闭，我想要一种更持久的方法来防止有人尝试登录太多次。我认为session变量最适合这个，但我不知道如何“计时”它。有人可以帮忙吗？我正在使用PHP和JavaScript(带有jQ​​uery)。 最佳答案 首先，不要锁定帐户，如果有人达到上限提示他们reCaptcha.您不能为此使用$_

这是易受攻击的代码确保清除进入目标的讨厌的东西的适当方法是什么？ 最佳答案 首先，这是一个漏洞OWASP将其归类为“未验证的重定向和转发”。参见OWASP'sguideformoreinformation.一些有趣的攻击是可能的。参见thisthreadonsla.ckers.orgforideas关于如何滥用它。您如何保护自己？验证URL的方案。您通常只想支持http和https。中止任何其他方案的请求。解析URL，并提取域。只允许重定向到已知的域列表。对于其他域，中止请求。就是这样。

我想创建一个仅包含用户用户名的cookie。我希望我们的登录表单记住用户名(如果用户选择)，但他们每次都必须输入密码。只在cookie中包含用户名是否有任何风险？用户名是否应该有任何类型的加密？建议？ 最佳答案 尽管这不是最好的做法，但您的问题的答案是可以将用户名加密存储在cookie中，运行时读取和解密加密:base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,md5($username),$salt,MCRYPT_MODE_CBC,md5(md5($username))));解密rtr

我正在尝试编写一份接受表格(基于cookie)来拒绝/允许访问我正在工作的网站；无论如何，我都不是安全专家，所以我需要一些提示，了解如何使我的表单提交更安全，以及如何存储用户请求的原始页面，以便他们在接受后可以重定向到正确的页面。这是我编写的基本脚本:和形式:IacceptIdecline我的第一篇文章可能不够清楚:我想使用它的网站是一个托管在WP上的网络漫画。该漫画包含“成人”内容(暴力、语言，我只想使用cookie作为一种机制，让读者“同意”他们将要查看此类内容这一事实。是的，我考虑过使用$_SESSION这样做，但在这种情况下，如果有人愿意“伪造”他们查看此类内容的意愿，我就不在

以下是从Facebook的身份验证页面获取的示例。将数据添加到session然后使用javascript重定向到URL背后的想法是什么？另外为什么要对uniqid进行md5哈希？top.location.href='".$dialog_url."'");}if($_REQUEST['state']==$_SESSION['state']){$token_url="https://graph.facebook.com/oauth/access_token?"."client_id=".$app_id."&redirect_uri=".urlencode($my_url)."&client

我想创建用户可以轻松记住的优惠券代码。我的想法是这样的:松鼠45楠塔基特23也就是说，从一个长字典列表(最好为此目的编译)中随机选择的一个真实单词组合了2个随机数字。我的问题是:在哪里可以找到这样的词典列表？您发现系统有任何问题吗？(这里安全性不是特别重要，只要合理就可以了)您能提出任何好的改进或替代方案吗？首先，我对马尔可夫词生成器并不着迷，因为我认为它们的特质太难记了。我希望客户能够将代码记在脑海中，并在商家到达兑换时告诉它。谢谢，约拿 最佳答案 单词列表很容易找到。确保你理智地过滤掉他们的脏话；)这是一个可以轻松删除的巨大单词

我正在寻找一种通过.htaccess隐藏文件扩展名并拒绝直接访问的方法。让我们考虑以下几点:http://www.xyz.zyx/index.php转换为http://www.xyz.zyx/indexORhttp://www.xyz.zyx/到目前为止一切都很好。我接下来要做的是在用户尝试直接访问时阻止或重定向。例如，如果用户在URL栏中键入以下(扩展名)，阻止或重定向:http://www.xyz.zyx/index.php我检查了其他问题的其他答案，但似乎不是。预先感谢您帮助像我这样的新手。 最佳答案 虽然有人可能会质疑这种东