草庐IT

iOS安全

全部标签

PHP 安全和 XSS 攻击 - 获取错误拒绝执行 JavaScript 脚本。在请求中找到的脚本源代码

我正在浏览我的网站并进行安全审核。我只是简单地接受了我需要清理所有用户输入的事实,但我从未真正停下来尝试过真正发生的事情。我现在开始尝试。我在PHP页面上有一个典型的联系表单。这是_POST荷兰国际集团数据。$_POST["first_name"];等等我这样做$firstName=htmlspecialchars($_POST["first_name"]);清理并显示如下所示的消息。echo$firstName.',thankyouforyourinterest.We'llbeintouchsoon!'我开始玩这个,如果我输入类似alert('hello')的东西在名字字段中,htm
JavaScriptPHPcodesectionscriptsecurityxsscode-injection

php - 如何将 $_GET 路径与 file_exists 一起使用并保证其安全?

我有一个函数可以通过jQuery检查文件是否存在,它会调用PHP脚本,我将在单击索引页上的按钮更改某些图像时使用该脚本。jQuery函数:functionfileExists(path){$.getJSON("/ajax/fileExists.php",{path:path},function(data){returndata.path;});}文件存在.php:$path=$_SERVER['DOCUMENT_ROOT'].'/packs'.$_GET['path'];if(file_exists($path)){echojson_encode(TRUE);}else{echojso
file_existsexistssection39pathphpjavascriptjqueryajaxget

php - Paypal IPN 安全性已验证

有PayPalIPNPHP示例代码https://www.x.com/developers/PayPal/documentation-tools/code-sample/216623谁能告诉我它是如何保护的,因为我不明白?示例:我有一家网店。我没有https。在我们的http://my-magazine.com/process_pp.php上从PayPal接收数据此数据未加密,因为我的站点位于http上。我对吗?所以(如果它没有加密)一些黑客可以改变它。我们发送https请求以验证我们在paypal上的付款。PayPal使用http(而非https)回答INVALID,以便黑客可以在V
Paypalphphttpssectionpaymentpaypal-ipn

php - 这个 PDO 代码对 SQL 注入(inject)足够安全吗?

这个问题在这里已经有了答案:ArePDOpreparedstatementssufficienttopreventSQLinjection?(7个答案)关闭9年前。正如标题所说:这段代码对SQL注入(inject)足够安全吗?有没有更好的方法来防止SQL注入(inject)?setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);$db->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);$query=$db->prepare("INSERTINTO`$usertable`(first_n
injectphpsection39usernamehtmlsqlpdocode-injection

php - 在 PHP 中使用 session ID 作为文件名是否安全?

在PHP网络应用程序中,我使用sessionID作为文件名。在某个时候,这些文件被删除,代码如下unlink('tmp/'.session_id());我知道用户可以更改他/她的sessionID。因此我想知道是否可以将sessionID更改为类似“/../../etc/passwd”的内容。我现在的问题是,这种“黑客攻击”是否可能,以及我如何才能最好地保护我的代码。预先感谢您的回答!评论:我知道用户劫持其他用户session的危害和预防方法,目前我的情况不是这个问题。 最佳答案 除非你有一个非常搞砸的设置,否则用户将永远无法直接更
sessionphpsectionstrongsecurity

PHP LDAP 查询以获取特定安全组的成员

我正在努力让LDAP查询工作以给我安全组的成员。我们的事件目录结构设置为DC=domain,DC=co,dc=uk然后我们有一个名为公司用户的OU,其中有一个用于IT和标准的OU。我们在其中创建了用户所以我设置为CN=myname,OU=IT,OU=companyusers,DC=domain,DC=co,dc=uk安全组是CN=Test,OU=SecurityGroup,DC=domain,DC=co,dc=uk我是其中的一员。我有一个运行LDAP查询的PHP页面,该查询设置为具有OU=Companyusers,DC=domain,DC=co,dc=uk的DN,过滤器为(&(obje
LDAPPHPcodesectiondomain

php - 通过电子邮件发送 POST 的 print_r 没有任何安全漏洞,对吗?

这可能有点菜鸟问题,抱歉。这种代码没有任何安全漏洞吗?我一直在到处使用它,但想确保我不会留下漏洞。$body=print_r($_POST,true);mail($to,$subject,$body,$headers,"-f$from_address"); 最佳答案 不,这不安全。但您可能会逃脱它,因为您需要其他设置不当的系统来让黑客通过。详情电子邮件的“正常”安全问题是众所周知的:始终审查进入标题的任何内容以防止标题注入(inject);最简单的方法是删除换行符(或拒绝发送任何换行符:表示有人在进行黑客攻击/测试)。这不是您提出的
安全漏洞print_rsectionstrongphpemailcode-injection

php - 使用 Iron IO Laravel 4 发送邮件

我使用命令:phpartisanqueue:subscribelaravelhttp://your-site-url/queue/push并得到错误:[Http_Exception]HTTP错误:0|SSL证书问题。验证CA证书是否正常。详情:错误:14090086:SSL例程:SSL3_GET_SERVER_CERTIFICATE:证书验证失败。失败的queue:subscribe[--type[="..."]]队列url我在iron.io上注册并在app/config/queue.php中添加project_id、token和默认key驱动 最佳答案
LaravelIronsectioncodequeuephplaravel-4

php - parse_ini_file() 出于安全原因已被禁用 - 替代方案?

parse_ini_file()有什么替代方案吗?真的有那么危险吗?是禁用它的充分理由,还是我可以以某种方式说服管理员它是安全的?parse_ini_file()hasbeendisabledforsecurityreasons我已经找到这个错误的意思了errordescription我在这段代码中使用(有一些拼写错误的问题,但它在一个主机上解决并工作正常但在另一个主机上没有,因为禁用该功能)mycode 最佳答案 老实说,我找不到合理的理由来禁用该功能,但是,如果parse_ini_string()可用并且您还可以阅读文件,您应该
parse_ini_file出于sectionnoreferrernoopenerphpsecurityparsing

php - 有没有办法在没有外部托管的情况下从 github.io 发送电子邮件?

我有一个关于github页面的问题。我在那里创建了我的网站,我想添加联系表格,以便用户可以通过此表格与我联系,但正如我在github.io中看到的那样,不可能发布或使用.php文件......所以有没有办法将电子邮件从我的网站联系表发送到我的电子邮件地址?P.S我也读过thisone,并且提到了外部托管,但我没有,所以对我来说它不起作用...有什么想法吗?P.P.S抱歉英语不好=( 最佳答案 是的,可以在formspee的帮助下以这种方式完成。Formspreehttp://formspree.io/HTML表单只需将您的表格发送到
githubphpemailformspreesection
110111112113114115116