草庐IT

php - session 安全?

全部标签

ruby-on-rails - 来自 Rails 4 中 Controller 的带有 html_safe 的 Flash 消息(安全版本)

在我的Controller中,我有以下代码:format.html{redirect_tonew_customer_url,notice:%Q[Acustomeralreadyexistswithwiththisshoppingid.Editthiscustomer#{view_context.link_to("here",edit_customer_url(@duplicate))}.].html_safe我希望能够在Flash消息中包含一个链接,因此(如您所见)我调用html_safe来取消转义该字符串。然而,从Rails4.1开始,这似乎有了不同的处理方式。(参见here和her
ruby-on-railsControllercodehtmlflashrubyruby-on-rails-4

ruby-on-rails - 为 Rails 上的连接、限制、选择等(不是条件)的 SQL 片段安全地转义字符串

在RubyonRails中,对于条件,很容易进行SQL防注入(inject)查询::conditions=>["title=?",title]标题来自外部,来自Web表单或类似的东西。但是,如果您在查询的其他部分使用SQL片段怎么办,例如::select=>"\"#{title}\"AStitle"#Idohavesomethinglikethisinoneinstance:joins=>["LEFTJOINblahASblah2ONblah2.title=\"#{title}\""]有没有办法正确转义这些字符串? 最佳答案 通常在
ruby-on-railsRailssectiontitlecoderubysql-injectionescaping

ruby-on-rails - 在 Heroku 上的 Sinatra 应用程序中, session 未跨 Dynos 共享

这是有道理的。但是,这个问题有哪些首选解决方法? 最佳答案 在我的评论中,我建议使用rackcookiebasedsessions,但仔细观察,Sinatrasession无论如何都是Rackcookiesession。进一步看,我foundthisintheSinatradocs:Toimprovesecurity,thesessiondatainthecookieissignedwithasessionsecret.ArandomsecretisgenerateforyoubySinatra.However,sincethiss
ruby-on-railsSinatrasectionsessionsecretrubyheroku

php - Ruby 和 PHP HMAC 不一致

我尝试在Ruby中创建一个HMAC,然后在PHP中验证它。ruby:require'openssl'message="A522EBF2-5083-484D-99D9-AA97CE49FC6C,1234567890,/api/comic/aWh62,GET"key="3D2143BD-6F86-449F-992C-65ADC97B968B"hash=OpenSSL::HMAC.hexdigest('sha256',message,key)phashPHP:对于Ruby,我得到:20e3f261b762e8371decdf6f42a5892b530254e666508e885c708c5b
RubyHMACcodesectionmessagephp

ruby - Sinatra/1.4.3 使用 Rack::Session::Cookie 警告

我的配置代码require'sinatra'#set:environment,:productionenable:sessionsenable:loggingsetrun:truecasewhenproduction?setport:8081whendevelopment?require'sinatra/reloader'require'better_errors'useBetterErrors::MiddlewareBetterErrors.application_root=__dir__enduseRack::Session::Cookie,key:'N&wedhSDF',doma
SinatraSessioncodesectionruby

php - Facebook 扼杀了公共(public) RSS 提要;如何获取带有新时间线的 Facebook 页面 RSS?

我正在尝试从Facebook提取一个页面提要到RSS,但是每次我尝试尝试时,我都会在XML中返回一个错误,内容如下:">https://www.facebook.com/profile.php?id=</a>]]>我使用的网址是:https://www.facebook.com/feeds/page.php?id=&format=rss20&access_token=我没有设置年龄限制,也没有国家/地区限制:此外,我已经尝试过使用和不使用访问token。如以下评论所述,JSONURL确实有效:https://graph.facebook.com//feed&
Facebook扼杀httpssectionphprubyfacebook-graph-apirss

ruby - 导轨 : Advantages of storing session in database?

我只是想知道为什么将session存储在数据库中?将session存储在数据库中有什么好处吗? 最佳答案 数据库或memcached的优势在于session数据无法在客户端被篡改,并且您可以存储比使用cookie(4kB)更大的数据量。如果您的session存储在cookie或数据库中,并且重新启动网络服务,则session数据不会丢失。只有存储在memcached中才可能丢失。如果服务器是负载平衡的,那么session数据将传递到为请求提供服务的Web服务器,因此这不是cookie、数据库或内存缓存session的问题。cooki
Advantagesdatabasesessionsectioncookierubyruby-on-rails-3

ruby - Ruby 的 stdlib Logger 类能否安全地处理来自多个进程的编写器?

我正在开发一个需要进行日志记录的Ruby库。理想情况下,我希望多个工作进程能够登录同一个文件。查看来自Ruby标准库的Logger类的源代码,我看到努力从多个线程同步写入日志(正如对IsRuby'sstdlibLoggerclassthread-safe?的回答中所指出的)。当多个进程写入同一个日志文件时,似乎存在类似的问题:根据底层决定缓冲/拆分写入的方式,每个日志消息可能无法保持其完整性。那么,有没有一种方法可以使用标准的Logger类来允许多个进程安全地记录到一个文件中?如果不是,这在Ruby项目中通常是如何完成的?这就是我所说的“安全”的意思:每个日志行都是“原子的”——在下一
编写Loggercodesectionrubylogging

ruby-on-rails - 检测 Rails 4 session cookie 篡改

背景我是一名经验丰富的Web开发人员(主要使用Python和CherryPy),之前从头开始实现过安全session管理,现在正在学习Rails。我正在调查session暴露的Railssession行为ActionController中可用的对象实例和View上下文。问题/问题我读到Rails4中session的默认实现使用加密且防篡改的cookie。很酷,我想这意味着我可以使用它来保存用户session的用户ID,而不必担心session伪造(防篡改)或任何人能够找出他们的ID是什么(加密)。我想对此进行测试,看看如果sessioncookie被更改,rails会做什么。因此,我使
ruby-on-railssessioncodecookierubycookiesruby-on-rails-4

ruby-on-rails - var_dump 并像 php 一样死去,在 ruby​​ on rails 中(在 ruby​​ on rails 中调试)

这可能是重复的问题。但是我无法显示对象。我是ruby​​的新手,尝试过像var_dump和print_r这样的调试,然后在php中die/p>这是我的代码。@brand_id=Brand.maximum("brand_id")我试过下面的方法1putsYAML::dump(@brand_id)2logger.debug{@brand_id.inspect}请问谁能帮我解决一下吗? 最佳答案 Rails只会将View输出到浏览器。任何其他输出都发送到服务器上的STD_OUT。从View中调试很简单:但是从Controller或模型内部
railsrubycodesectionbrandruby-on-railsdebugging
6789101112