草庐IT

企业安全

全部标签

php - 使用 MongoDB PHP 驱动程序时的安全问题

我有在MYSQL上保护sql注入(inject)的经验,但是在使用php驱动程序的MongoDB上我应该注意什么?在大多数页面中,我通过GET/POST和搜索/插入系统获取数据。我通过UDID/其他字段搜索,可以插入任何字符串值。我还通过javascript获取用户的cookie。那么当GET/POST时,我要向每个变量添加htmlentities函数?什么会取代mysql_real_escape_string?我应该使用它吗?所以,例如,当做$download=array('url'=>$_GET['url']);$downloads->insert($download);这样可以吗

javascript - Ajax 到 PHP 安全登录脚本

我正在研究如何通过Ajax安全地将用户名和密码发送到PHP,以及如何将值也正确地存储在MySQL数据库中。过去我使用过以下类型的示例:varformData={username:$('#username').val(),password:$('#password').val()};//SEND$.ajax({type:"POST",url:"/signin.php",data:formData,success:function(data){//success}});这是通过JavaScript发送值,然后从PHP获得返回OK或FAIL。但这足够安全吗?我希望有人会好心为我指明将敏感数据

Linux rm命令教程:如何安全有效地删除文件和目录(附案例详解和注意事项)

Linuxrm命令介绍rm命令在Linux中主要用于删除文件或目录。rm的全称是remove,意为移除。它是Linux用户在使用过程中最常遇到的命令之一。Linuxrm命令适用的Linux版本rm命令在所有的Linux发行版中都是可用的,包括但不限于Ubuntu,Debian,Fedora,CentOS等。在不同的Linux发行版中,rm命令的使用方法是一样的。[linux@bashcommandnotfound.cn~]$rmfilenameLinuxrm命令的基本语法rm命令的基本语法如下:rm[OPTIONS]...FILE...在默认情况下,如果没有提供任何选项,rm命令不会删除目录,

Kafka三种认证模式,Kafka 安全认证及权限控制详细配置与搭建

Kafka三种认证模式,Kafka安全认证及权限控制详细配置与搭建。Kafka三种认证模式使用kerberos认证bootstrap.servers=hadoop01.com:9092,hadoop02.com:9092,hadoop03.com:9092,hadoop04.com:9092security.

安全访问一部分物业

在我的应用程序中,我有两个角色(admin和normal)。在模型I中有类(示例):publicclassFoo{[Key]publicintId{get;set;}publicstringName{get;set;}publicstringExtra{get;set;}}用户还可以编辑该对象并使用过滤器进行搜索。应用程序基于具有EFCore的WebAPIASP.NET核心。有一个要求normal不应该看到(或对此做任何事情)Extra财产。我是否应该通过忽略属性来拆分模型类(或其他内容)或仅通过将端点的格式输出格式输出来保护应用程序(服务,控制器,数据访问层)的任何地方?我的想法之一是创建一

加载用户会话带有弹簧安全性

我正在开发一个网络应用程序,该应用将在CiscoJabber内部用作自定义标签。在我的应用程序中,需要登录用户。第一个身份验证是使用SpringSAML(SSO)完成的。如果此身份验证失败,则用户退回到其中一个authProcess:-一个:直接与他的用户ID(不是真正的auth,但对某些客户需要)-b:登录表格(针对客户端数据库的auth)问题在于,某些动作正在创建弹出窗口,而使用Jabber,这些弹出窗口将在InternetExplorer中打开,该弹出器没有关于我的用户的任何信息,因此我的应用程序试图再次对其进行认证。如果SSO工作没有问题,则无需采取任何操作,如果失败了一个正常工作,但

SpringCloud微服务实战——搭建企业级开发框架:微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击

 SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。  XSS全称为CrossSiteScript跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。  项目框架中使用mybatis/mybatis-plus数据持久层框架,在使用过程中,已有规避SQL注入的规则和使用方法。但是在实际开发过程中,由于各种原因,开发人员对持久层框架的掌握

php - 为什么在 php 中存在二进制安全和二进制不安全函数?

这种行为/实现有什么原因吗?示例:$array=array("index_of_an_array"=>"value");classFoo{private$index_of_an_array;function__construct(){}}$foo=newFoo();$array=(array)$foo;$key=str_replace("Foo","",array_keys($array)[0]);echo$array[$key];给我们一个错误是完整的:NOTICEUndefinedindex:onlinenumber9示例#2:echodate("Y\0/m/d");输出:2016

php - Magento 是线程安全的吗?

是否有人将Magento与ApacheworkerMPM一起使用?我读过关于使用worker而不是prefork的稳定性和安全性相互矛盾的报告,但也读过worker比prefork快得多。 最佳答案 PHP5是线程安全的,但PHP扩展并非都是线程安全的。因此,在worker-mpm上运行PHP应用程序被认为是有害的。Magento和其他应用程序一样是一个PHP应用程序,很可能您在某处使用了一些PHP扩展(GD、Xml等)并且您无法测试它的线程稳定性(真的很难测试)。但是您可以做的是将apache用作worker(实际上处理了更多的H

php - 当安全性不受威胁时,php 中可用的最高性能散列算法是什么?

我们在代码的许多部分中使用md5作为哈希算法。在此上下文中的安全性不是问题。我们只是使用md5作为生成唯一标识符的方法,以在apc等中存储各种项目。碰撞是个问题。尽管不太可能,但它会导致一些重大问题。有人想建议在CPU上做些更轻便的事情吗?谢谢。我们刚刚用md5和crc32做了一些测试。使用以下代码段:结果如下:MD5:1.49914598464971.78938007354741.4672470092773crc32:0.978804111480710.943319797515870.93316197395325所以看起来crc32比使用md5快大约1/3。