对字符串使用md5始终会产生字母数字加密结果，即:无符号。但是，当我使用phpcrypt()函数时，特别是CRYPT_MD5(它是打开的，我已经检查过)和盐时，它返回的假定md5散列看起来不像md5散列。例如:如果我对字符串'password'进行md5，我会得到:$pass=md5('password');echo$pass;//5f4dcc3b5aa765d61d8327deb882cf99如果我使用CRYPT_MD5，它由“$1$”前缀和“$”后缀表示，盐为“salt”:$pass=crypt('password','$1$salt$');echo$pass;//$1$salt$

下面的脚本test.php旨在放置在我所有wordpress站点的特定目录中。它的作用是抓取下面$source地址的文件，解压到它所在的目录下。这就是它的全部意图。例如，我将在我的中央服务器上有一个仪表板界面，其中列出了存在此脚本的所有网站。然后，我将执行一个cURL例程，该例程遍历每个站点并对该脚本执行调用，有效地将更新文件同时发送给所有站点。调用是这样的......processingsite1update...http://targetsite1.com/somedeepdirectory/test.php?query=updates.zip...processingsite2u

这可能是一个非常愚蠢的问题...昨晚我开始担心可能有某种方式可以通过浏览器或客户端计算机上的其他方式查看服务器上的PHP文件。我担心的是，我有一个包含数据库用户名和密码的包含文件。如果有办法将此文件的地址放入浏览器或其他系统并查看代码本身，那么出于显而易见的原因，这将是一个问题。这是合理的担忧吗？如果是这样，人们如何着手防止这种情况发生？ 最佳答案 如果您的服务器配置正确，则不会。我认为关于如何完成的讨论属于serverfault。 关于php-有没有办法从客户端机器上查看PHP代码(实

我这里有一个具体案例，我需要一些安全建议。基本上我的问题是“如果我控制数据库中的内容(没有用户提交的数据)，以HTML(通过AJAX)返回数据库查询的结果是否存在安全问题？”这是正在发生的过程:每日构建生成一个XML文档我的服务器检索此XML文档，对其进行解析(使用PHP)并将其输入数据库。用户访问站点，发送AJAX请求(参数包括要返回的结果数、排序方式以及必要时的搜索词)PHP脚本查询数据库返回结果给AJAX回调AJAX回调将结果注入(inject)页面查看非常标准的东西...更多背景知识:我使用准备好的SQL语句，这样可以限制用户提供的搜索查询和任何URL篡改以创建任意查询。XML

标题几乎说明了一切。cookies对我来说似乎有一些好处；不过，我会等着看别人怎么说。此外-假设cookie更好，可以做些什么来更好地通过GET变量传递session？具体来说，我正在考虑PHP；但是，这应该普遍适用。 最佳答案 与GETvar相比，将其存储在cookie中至少有一个优势，即sessionID的URL永远不会被任何用户添加为书签。 关于php-将sessionID存储在cookie中是否比getvar更好？，我们在StackOverflow上找到一个类似的问题：

我在php手册中阅读了session漏洞并遇到了这个问题:我需要我的服务器/代码在成功验证用户后生成sessionID。现在，我不确定php何时设置sessionID。我的php应用程序类似于MVC，一切都通过index.php，在index.php的顶部我有session.start()因为每个页面(登录后)都使用session。这是漏洞风险吗？或者，我应该这样说:这是否意味着在第一次到达我的站点时，甚至在登录之前，服务器是否为该用户设置了一个sessionID？session.start()是否设置用户ID，或者是在我设置第一个session变量之前未生成sessionID，即。直

我想知道php文件实际上是如何安全的。为什么一个人不能下载一个php文件，即使确切的位置是已知的？当我将一个php文件上传到我的网络服务器时，假设是domain.com/files，然后调用domain.com/files页面，我可以清楚地看到php文件及其实际大小。然而，下载文件会导致一个空文件。接下来的问题是:安全机制究竟是如何工作的？ 最佳答案 Web服务器的职责是获取PHP脚本并将其交给PHP解释器，PHP解释器将HTML(或其他)输出发送回Web服务器。错误配置的网络服务器可能无法正确处理PHP脚本，并以原始格式将其发送到

我的网站受到DDos攻击(UDP泛洪攻击)!我无法访问linuxshell，我只能使用cpanel!:(是否可以通过php脚本来防止这种攻击？有没有办法配置cpanel来减少或重定向攻击？怎么办？根据网络托管帮助台:攻击速度在6到10Gbit/s之间!!!下面的代码有用吗？time()-2){//userswillberedirectedtothispageifitmakesrequestsfasterthan2secondsheader("Location:/flood.html");exit;}$_SESSION['last_session_request']=time();?>硬

为什么从htdocs/public目录中删除PHP文件是一个好习惯？无论如何，它们都在被解析，对吧？ 最佳答案 如果PHP文件在某些​​时候未由于配置错误或解释器失败而被解析，则源代码(并且可能密码)以明文形式向世界公开。此外，人为错误，例如将.php文件重命名为.php.bak那样危险性较小。几年前我遇到过一次，当时一位来自Perl世界并且对PHP完全一无所知的同事决定在我们共享的服务器上将“short_open_tags”设置为“关闭”，因为short_open_tags搞砸了一些XML实验他去了()。那很有趣!:)还有第二件事

我正在创建一个简单的私有(private)页面，其中包含一些要下载的文件的链接。我已经通过简单的session管理完成了它，但我遇到了一个问题:如果有人单击文件url，他可以在没有身份验证的情况下下载文件。那么我能做些什么来避免这种情况呢？我可以进行HTTP身份验证，但我想要自定义登录表单而不是弹出窗口。有什么想法吗？谢谢 最佳答案 我想现在回答有点晚了。无论如何，它可能会帮助其他人。要保护文件不被直接下载，您必须结合使用PHP+.htaccess。让我们承认./downloads/是您存储要下载的文件的文件夹。首先，您已将.hta