我正在考虑将HTML和JSON提供给JavaScript的安全方法。目前我只是像这样输出JSON:ajax.php?type=article&id=15{"name":"something","content":"somecontent"}但我确实意识到这是一个安全风险--因为文章是由用户创建的。因此，有人可以在AJAXAPI中直接为内容插入脚本标签(仅作为示例)并链接到他的文章。因此，我现在想知道防止此类问题的最佳方法是什么。一种方法是对输入中的所有非字母数字字符进行编码，然后在JavaScript中解码(并在放入某处时再次编码)。另一种选择是发送一些header，强制浏览器永远不呈

有哪些方法可用于保护登录页面不被远程PHP脚本使用CURL登录？检查引荐来源网址和用户代理将不起作用，因为它们可以使用CURL进行设置。理想的解决方案是在不使用验证码的情况下解决这个问题，这就是这个问题的重点，试图弄清楚这是否可行。 最佳答案 一种方法是在您的登录表单中包含一些JavaScript，并使其在JavaScript运行之前无法成功提交表单。这使得您的登录表单仅适用于启用了JavaScript的人，而CURL没有。如果必要的JavaScript是某种每次都不同的挑战/响应(例如使用类似http://www.ohdave.c

我必须处理以前的开发人员留下的旧网络应用程序。它使用addslashes()来防止HTML属性上的XSS。这是一个例子:";?>这是否容易受到XSS攻击？javascript是否可以像在src属性中那样在value属性中运行，例如src='javascript:alert(99)'。还是可以打破value属性，然后插入script标签？编辑:感谢Quentin，我相信它很脆弱。 最佳答案 Isaddslashes()safetopreventXSSinaHTMLattribute?这是非常无效的。Isthisvulnerableto

我试图在我的apache2配置文件中禁用功能，但由于某种原因它不起作用。我已经验证其他php_admin_value设置正在工作，但它只是忽略了disable_functions这是我所拥有的:php_admin_valueopen_basedir"/var/www/testdir"php_admin_valuedisable_functions"exec,shell_exec"open_basediradmin值按预期工作(不能包含“../something”)，但是，它仍然会执行ls-a..或让我exec('ls-a..',$输出);echo$output;好像甚至没有设置disa

例如，我有一个包含源代码的php脚本。我将它上传到我的网络服务器。出于某种原因，某些攻击者可能能够从我的Web服务器下载该文件。他们可以阅读和分析我的源代码。所以我认为这使得解释语言(如php...)与编译语言(仅包含二进制形式)相比不安全。我想听听不同的意见。 最佳答案 二进制也不安全。诚然，他们需要更像一名精英黑客才能拆解它并获得他们想要的关键算法，但如果有人可以访问二进制文件，那么你的算法就和泄露一样好。 关于php-口译语言是否安全？，我们在StackOverflow上找到一个类

感谢您的回复。我已经更新了我的PHPsession代码。我已经摆脱了用户代理检查，因为@Rook向我展示了逻辑中的缺陷。不幸的是，我通过编辑搞砸了原来的问题，现在我无法找回它抱歉，但是@Rook确实解决了我原来的问题。再次感谢大家的帮助，daza166 最佳答案 您所做的一切都没有真正提高session的强度。你必须清楚你在防御什么攻击，因为你的检查并不能阻止攻击。一个很好的例子是检查用户代理，这对欺骗来说是微不足道的。滚动sessionID无济于事，即使一个值被泄露，或者您有XSS/CSRF漏洞，攻击者已经控制了session。阅

我希望能解决我一直以来对AJAX安全性的一些疑问。所以这是我正在尝试解决的一个场景。假设我正在使用AJAX向页面请求一些半敏感Material。例如，我将把用户的ID传递给一个php文件，并返回一些关于他们自己的信息。现在，是什么阻止某人模拟此Javascript请求并将不同的ID传递给PHP脚本？服务器是否采取了任何措施来防止这种情况发生？DOM是否识别“最初”就位的Javascript，还是由服务器编写，而不是客户端Javascript？使用AJAX请求敏感Material时还有哪些安全问题？我正在使用suPHP，这对这种情况有什么影响吗？ 最佳答案

这个问题在这里已经有了答案:关闭10年前。PossibleDuplicate:AreglobalvariablesinPHPconsideredbadpractice?Ifso,why?globalinfunctions编辑:上面链接中回答的问题。不，php中的“global”与其他语言中的global不是一回事，虽然它不会引入任何安全问题，但它会使其他人难以理解代码。运算符(operator):项目摘要-我正在编写一个WebCMS来尝试使用PHP/MySQL。为了分解代码，我对这些基本层/模块有一个概念:数据-MySQL表-PHP变量函数-SQL-获取/设置/等-前端-显示页面-后端

如果我有一个脚本，我希望能够在收到通知后立即运行并将其放在https上服务器的公共(public)端，并且只要我不让我自己的个人缓存被窥视，它是否安全作为“在公众之后”的脚本，我必须在其中使用用户名和密码登录才能实例化？例如，考虑这两种方法:1)我使用用户名登录:xxxxxxxx，密码:yyyyyyyy(例如使用ssl或cpanel然后触发脚本)2)我只是从我的iphone运行这条路径，https://www.iamsilly.com/xxxxxxxx/yyyyyyyy/myscript.php排除有人拿起我的iPhone并查看我的历史记录的可能性，这两种安全系统之间的安全级别之间是否

如HowtouseanauthenticateduserinaSymfony2functionaltest?的回答中所述Symfony\Component\Security\Core\User\User有一个简单的解决方案。但是我有不同的用户类(一些必要的附加字段)，我想用它来验证用户。我如何为它设置供应商？ 最佳答案 这里讨论的是一个棘手的问题:https://github.com/symfony/symfony/issues/5228虽然它是2.1，但我使用2.2时仍然会发生这种情况。下面是我如何进行测试认证://Createa