我是php新手，我想弄清楚这是个坏主意还是安全风险。我有一个提供给用户的数据表，它有一个加载的默认样式表，但如果用户想要包含他们自己的样式表，我已经做到了，这样他们就可以指向他们的样式表:http://www.mysite.com/info.php?css=http://www.someothersite.com/mystylesheet.css我已经尝试在css文件中添加关闭样式标签和javascript，但DOM似乎只是将其加载为它无法处理的CSS。我从未见过任何其他站点允许使用这种添加样式表的方法，那么，这是好主意还是坏主意？我想我可以让脚本加载文件并查找javascript中使

关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题？更新问题，以便editingthispost可以用事实和引用来回答它.关闭8年前。Improvethisquestion好的，所以有所有这些不同的字符串转义函数，例如htmlentities()、mysql_real_escape_string()、addslashes()但是我应该在什么情况下使用哪个呢？请提供资源和意见:)

这与其说是一个具体问题，不如说是一个理论问题。我有一个使用CodeIgniter的表单验证类设置的表单。我正在运行一些规则，例如:$this->form_validation->set_rules('address_line_1','AddressLine1','required|xss_clean|trim');我最终想将address_line_1数据放入我的数据库中。这是我有点困惑的地方。似乎有几种方法可以从CodeIgniter中获取$_POST数据:$address=$_POST['address_line_1'];$address=$this->input->post('a

我目前正在使用以下函数来清理我的$_POST和$_GET以防止SQL注入(inject)。不幸的是，我无法通过它发布代码，例如:“”。推特是怎么做到的？function_secinput($variable){returnfilter_var(mysql_real_escape_string($variable),FILTER_SANITIZE_STRING);}另外，如果我能以任何方式改进它，谁能告诉我建议？ 最佳答案 永远不会也永远不会有一个函数来清理所有的东西。您必须为工作选择合适的工具。1)htmlspecialchars(

我正在研究php的模板系统，我开始相信纯php代码似乎是我想要使用的解决方案。我是孤独的开发者，所以没有设计师需要一个削弱的竞技场来工作。像smarty这样的模板引擎似乎受到“内部平台效应”的影响。如果我坚持良好做法(预先计算的值，仅使用foreach)，我认为这会奏效。我的目标是为每个页面共享的html字符串提供单一来源。我的想法是通过include访问一个单独的php文件是实现这个目标的好方法。但是，我担心这可能会对网站造成安全隐患——我目前想不出任何具体的东西，但有人可以猜出模板的名称并直接请求它，也许会暴露一些东西他们不需要看到。(我想我可以检查一下，看看它本身是否是请求。)我

我的客户有一个friend在做“安全测试”，他告诉他们我为他们构建的PHPZendFramework应用需要在浏览器端做这些事情:隐藏位置栏、工具栏、书签、菜单和后退/前进按钮禁用右键单击这显然是一个非常糟糕的主意。我已经指出，它隐藏了站点受SSL保护的事实，浏览器是否接受这些请求是可选的，而且真正的破解者无论如何都会找到绕过它的方法，因为它是客户端黑客。除了这个想法不好之外，还有可能吗？我所做的基本测试表明这仅在版本7之前的ie中是可能的，而在Firefox、Safari和Chrome中根本不可能。这家伙坚持认为在这些浏览器中是可能的，我仍在等待概念证明。这可能吗？在弹出窗口或同一窗

我有下一个security.yml:security:encoders:Test\BackEndBundle\Entity\User:algorithm:sha512encode-as-base64:trueiterations:10providers:main:entity:{class:TestBackEndBundle:User,property:username}firewalls:main:pattern:/.*form_login:check_path:_security_checklogin_path:_security_logindefault_target_path:

我想创建一个安全登录，所以我想在将密码作为POST参数发送之前对其进行加密。我正在使用SHA1javascript函数来完成它。然后我意识到，如果有人截取了加密后的密码，他就可以马上使用。将其作为相同URL的post参数发送。如何确定密码来自登录输入字段？也许有一个PHPsession？我还不想使用安全http。谁有简单的替代方案？ 最佳答案 HowcanIbesurethatthepasswordcomesfromthelogininputfield?你不能。最接近的是对CSRF的通常防御。…但这只会阻止人们欺骗用户将数据从他们的

关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题？更新问题，以便editingthispost可以用事实和引用来回答它.关闭9年前。Improvethisquestion我正在建立一个网站，我对登录/注册页面上的表格有疑问。我在登录页面上有一些标准的javascript验证。我的问题是，如果禁用了javascript，我应该只禁用登录按钮，还是应该在服务器端代码上保留PHP验证？就安全性而言，哪种方法更好？我打算禁用登录/注册按钮，只通过javascript启用它。这样我就可以避免编写已经存在的相同JavaScript的PHP端验证。这是一种安全的方式吗？

我有一个分类网站。在主页(索引)中，我有几个表单字段，用户可以填写也可以不填写，以便指定分类的详细搜索。例如:Category:CarsPricefrom:3000Priceto:10000Color:RedArea:California表单的操作设置为php页面:在query_sql.php中，我像这样获取变量:category=$_POST['category'];etcetc...然后查询MySql:$query="SELECT........WHEREcategory='$category'etcetc....$results=mysql_query($query);然后我通过