看完网站上的一篇文章后,我真的很担心自己服务器的安全......在一个PHP文件中,该文件后来包含在我向用户显示的所有主要php页面中,我的用户名和密码(在我的整个网站上使用-服务器根目录,mysql根目录等)以纯文本插入...有什么可担心的吗?任何人都可以读取php文件(比如下载它并读取它而不是让服务器执行它)吗?是否存在我的用户名和密码被盗的风险?它们是为变量提供值的简单文本字段。如果是这样,您有什么建议的解决方案吗?像一个加密引擎?还是什么?提前致谢! 最佳答案 将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外。例如
我有一个脚本,用户可以输入一个图像URL(来自另一个网站),然后使用JS裁剪它并将它保存在我的服务器上。我的问题是...从另一台服务器获取图像时,使用CURL还是allow_url_fopen(通过file_get_contents())更安全?或者是否有首选/更安全的方法可用?安全是我的一个大问题,因为我知道这是一个非常危险的过程-如果这会产生影响,脚本将只需要对图像文件起作用。谢谢 最佳答案 curl的错误处理比file_get_contents()好得多。如果您关心这一点,那么curl可能是您的不二之选。不过,如果简单的“哎呀
我刚刚和一个同事吵架了。我的index.php包含我的mysql连接,因此也包含主机、用户名、密码和数据库名称。他声称这是一个安全线程,因为php解析器可能会失败,这会导致网络服务器将整个文件作为纯文本返回。然而,我相信如果php解析器失败,网络服务器会给用户一个内部服务器错误。谁能确认它是否存在安全风险?谢谢。 最佳答案 简短的回答是否定的。长答案是肯定的,但前提是:您的服务器已被入侵,在这种情况下,阅读您的php文件的人是您最不担心的您错误地配置了服务器来解析.php文件和纯文本,这确实非常愚蠢。此外,如果您正在使用某种版本控制
我们有一个系统必须执行用户输入提供的计算。我发现进行其中一种计算的最简单方法是eval——尝试找出一个解析器用于:(3+6)/2+27*5/2只是看起来很难。如果有人对此有解决方案-我很乐意听到。假设您要使用EVAL(我知道它的可怕功能),允许他们在该框中键入他们想要的任何内容将是一个主要的不安全因素。所以,我提出这个问题,如果我做一个正则表达式,删除除数字、标准运算符(+-/*)和括号之外的所有内容,比如$equation=preg_replace('/[^0-9+-\/*()]/','',$input_equation);$result=eval($equation);系统是否可能
我正在散列密码、在读取session数据时匹配用户代理,以及安全登录用户所需的一切。我对安全检索/读取session数据的方法很感兴趣。例如,我正在使用一个从session数据数组中获取用户ID的函数...在数据库表中:a:6:{s:9:"user_data";s:0:"";s:7:"user_id";s:1:"3";s:9:"firstname";s:4:"Tina";s:8:"lastname";s:3:"Fey";s:8:"username";s:8:"lizlemon";s:6:"status";s:1:"1";}函数(代码点火器):functionget_user_id(){
我已经为这类问题苦苦挣扎了一段时间,似乎找不到任何信息或示例代码来在PHP和JavaScript之间传输一些数据。我看到了很多方法来做到这一点,但并不安全。我的意思是,当您在系统之间传输一些可变数据时,它会在加载时直接显示在页面的查看源窗口中。真正需要的是一种传输数据的方法,但要安静且安全地进行,以便在加载页面时它不会显示在用户端。简而言之,有没有办法做到这一点,可能怎么做?我已经尝试过,使用XML文件传输数据,也使用JSON,直接使用echo+,或者在php中的?>缩写之后。但是到目前为止,我使用的每一种方式都会在加载时显示在页面的源代码中。 最佳答案
我将制作一个简单的网络应用程序。它最多只有几页,应用程序的主要重点是调用API并使用该信息执行操作。我想知道确保apikey安全的最佳方法是什么。我可以使用非常轻量级的框架吗?我应该只在根目录下创建一个php页面吗?我可以使用codeigniter构建一些东西,但这似乎无法满足我的需要。 最佳答案 将APIkey保存在Web根目录之外的文件中。然后将该文件包含在需要使用它的任何文件中。通过将其置于Web根目录之外,无法通过Web浏览器或其他类似方式直接访问它。 关于php-如何安全地使用
在我的codeingiterWeb应用程序中,目录“application”和“system”内的每个子目录都有一个index.html文件。在这个HTML文件中,有一条看起来像是标准错误消息的内容。它包含以下代码:403ForbiddenDirectoryaccessisforbidden.我假设创建这些文件是为了如果有人试图访问“应用程序”或“系统”中的目录,它不会列出所有文件,而是会显示错误。这些似乎是多余的,因为我在每个目录中添加了一个.htaccess以拒绝所有访问。这两个目录中的每个PHP文件也有第一行:if(!defined('BASEPATH'))exit('Nodir
我是一名技术作家,曾编写过大量HTML/CSS,但曾被投入高压锅中用PHP重写Web应用程序,并且做得相当不错,但我有点担心安全性。具体来说,主页是INDEX.PHP,用户登录的地方。一旦他们登录,页面会重写自身的部分内容,并显示未登录用户不可用的菜单选项。大约50%用户将永远不需要登录,因为他们将查看不需要安全性的公共(public)文档。其他50%的用户将限制对某些文档/页面的查看访问,并能够写入数据库。我的所有这些工作正常,但我担心我正在做的两件事以及它们是否正确:登录用户可能会被重定向到另一个页面,例如PAGE1.PHP。我不希望他们能够保存PAGE1.PHP的URL并直接转到
我正在使用PhoneGap开发一个移动应用程序,它将通过ajax请求与服务器(PHP)通信。在服务器端(PHP)类似于https://example.com/retrieveData.php将通过$_POST['user_id']获取用户ID,并以JSON格式返回有关用户的一些敏感信息。在客户端(PhoneGap-Javascript)JSON输出将被解析并在应用程序中使用。我担心的是,如果有人窃取了这个url(https://example.com/retrieveData.php),他可以手动发送虚假的post请求并窃取返回的用户信息吗?我怎样才能保证这种通信的安全?
