这个问题在这里已经有了答案:关闭12年前。PossibleDuplicates:PHP:theultimateclean/securefunctionWhat'sthebestmethodforsanitizinguserinputwithPHP?我应该向我的函数添加什么以确保传递给它的每个字符串都是“服务器友好的”？我使用这个小函数来检查包含姓名、电子邮件地址和ID的输入。functioncheckInput($str){$str=@strip_tags($str);$str=@stripslashes($str);$str=mysql_real_escape_string($str

Tumblr和Blogger等博客提供商允许用户在自己的博客中编写脚本。它使用户可以轻松地将AdSense、Analytics和计数器添加到他们的博客中。如何兼顾安全性和定制化？我应该过滤什么样的脚本？谢谢:) 最佳答案 如果每个博客都将在自己的域中(而不是像blogname.myblog.com这样的共享二级域!)，很可能没有必要过滤任何东西。同源策略将阻止站点访问任何重要内容(例如可能被劫持以侵入其他博客或管理URL的sessioncookie)。恶意用户添加指向受恶意软件感染的站点的iframe或做其他邪恶事情的危险总是存在的

免责声明:我是网络开发新手。场景:我使用CodeIgniter构建了一个应用程序，最好将其描述为事件日历。应用程序中有一个共享功能，允许您与其他人共享您的事件日历。登录后，用户可以前往共享页面，并从与他们共享事件日历的人员列表中进行选择。目前，当用户选择与他们共享事件日历的人的姓名时，会生成以下URI:http://example.com/folder/controller/method/idid部分是数据库中与个人共享日历的用户的owner_id。问题:很容易将URL的id部分更改为数据库中另一个用户的owner_id。这允许这样做的任何人访问未授权共享其事件日历的个人的事件日历。问

我的PHP很生疏。我有一个通过get传递给脚本的md5散列，然后我像这样获取它:$id=$_GET['id'];显然这里存在安全风险...我正在考虑检查字符串长度以确保它的长度为32个字符，但这对我来说似乎不太可靠。我还能做些什么来让它更安全？谢谢 最佳答案 您可以使用正则表达式进行验证，以确保它只包含字母数字字符。例如像这样(我的PHP也生锈了):if(preg_match("/^[A-Fa-f0-9]{32}$/",$id)>0){//Allgood} 关于php-更好的$_GET安

嘿，你们所有的PHP极客和黑客，如果你们中的一些人听了;o)我正在为一些即将推出的网站创建一个登录系统，我相信很多人会使用它-或者至少我希望如此:)所以，我的问题是:什么时候我的登录系统和类似的东西足够安全？它会“足够安全”吗？我得到了表单验证，我在其中检查了发送到数据库的内容。我的密码是md5散列的。人们被告知要创建强密码。是否有一种叫做:“足够安全”的东西？我在想:所有像facebook之类的大网站，一定比这个多吗？这是我需要的东西吗？如果是这样，怎么办？一些链接和类似的东西，会很好。在此先感谢:o) 最佳答案 安全是一个永无止

我不久前查过这个，它对我来说仍然很模糊。当我使用它时，我想知道以下关于session的事情是否正确:$_SESSION['username']="pete";$_SESSION是一个全局变量，只能在服务器上改变当声明$_SESSION['username']时，将在客户端设置一个cookie这意味着客户端可以查看数据但不能编辑当声明$_SESSION['username']时，服务器端也会设置一个cookie如果第三个陈述是正确的，那么为什么我登录后找不到其中包含用户名的cookie？我确实找到了一个sessioncookie，但它包含类似tkcsq66lucpra9m7j3ogqol

我目前正在为我的登录系统重写我的函数脚本(PHP)。以下代码是否安全且是检查用户是否登录的“好”方法？functionloggedin(){$ID=($_SESSION['ID']);$sql="SELECT`online`FROM`users`WHERE`ID`='$ID'";$result=mysql_query($sql);$count=mysql_num_rows($result);$row=mysql_fetch_array($result);if($count==1){if($_SESSION['ID']&&$_SESSION['session_id']){if($row[

我有一个页面page.php如果通过https访问我需要重定向到http因为否则我的谷歌广告不会出现。准确地说，我希望发生以下情况:https://site.com/page.php?blah=foo?bar=blah-->http://site.com/page.php?blah=foo?bar=blah到目前为止我已经尝试过:RewriteCond%{HTTP_HOST}开启RewriteRule^page\.php$http://%{HTTP_HOST}%{REQUEST_URI}[R=301,L]但这行不通。有什么建议吗？ 最佳答案

我知道这样的问题已经被问过一百遍了，但我的有点不同。我知道所有常见和广为人知的安全问题，如SQL注入(inject)、XSS等。但是那些经常出现但大多数时候未被识别或未被判断为漏洞的问题呢？有吗？ 最佳答案 我见过很多作为功能开发但直到为时已晚才被视为安全漏洞的一件事是状态更改GET请求。这些很容易导致cross-siterequestforgery.例如，您的应用程序可能有一个指向http://mysite.com/logout的链接。将用户注销。但是第三方站点可以添加这样的代码:然后当用户加载evil.com上的页面时，他们将退

functiononeWayEncrypt($string){$salt=md5($string."yHuJ@8&6%4#%([@d-]");$salt2=md5($string."@!#&+-)jU@[yT$@%");$string=hash('sha512',"$salt$string$salt2");return$string;} 最佳答案 使用SHA-512是获得加密强哈希的好主意，但您选择的盐不会增加太多额外的安全性。特别是，盐只有在其值是随机的且无法提前预测时才是好的。这可以防止攻击者预先计算已知散列表来尝试攻击您的数据