我已经在PHP中实现了一个登录类，并希望创建一个记住我类型的功能，这样用户就不必在每次访问时都登录。我对此进行了一些研究，并准备使用PHPsetcookie(...)编写它，但随后遇到了这个页面:HowtoCreate'RememberMe'usingjquery,storecookies.我本来打算用PHP写这个，因为这是我的强项，但是这个页面让它在js中看起来很简单:http://www.quirksmode.org/js/cookies.html我正在寻找关于每种方法的陷阱的一些指导，更具体地说是与安全相关的问题。我只是想确保我不会通过提供此类功能使任务复杂化或打开任何漏洞。谢谢

我目前正在用PHP开发一个项目，想知道如何使我的系统尽可能安全。我目前正在使用password_hash来散列我的密码，然后将它们存储在我的数据库中。我想知道的是:将新的加盐哈希值重新散列并重新保存到数据库是否会提高安全性，还是这只是一种错觉？ 最佳答案 我不认为它会增加安全性，不。您有两种风险情况:破解者闯入服务器并在那里停留了一段时间未被发现。在这种情况下，密码可以在用户登录时以编程方式捕获。这比暴力破解强哈希算法需要更少的努力。破解者闯入，窃取了数据库的副本，作为回应，系统管理员堵上了安全漏洞并迅速从备份中恢复了服务器。在第二

我一直在四处寻找这个解决方案，这是我的问题:我有一个文件调用函数.PHP，会接收POST数据，根据数据执行PHP，例子:if($_POST["data"]=="delete")//Dosomethingtodeletesomethingif($_POST["data"]=="reset")//Dosomethinghere所以基本上我可以从同一个域使用Ajax来使文件根据我的数据运行。这里ajax绝对不能跨域。我的问题出在PHP中，我发现了一个可以将数据发布到我的PHP站点的函数调用cURL()，我在Google上寻找了很多方法，但我找不到任何解决方案来防止人们对我的站点进行cURL.

我正在开发一个基于Symfony2PHP框架的网络应用程序。它有一个注册用户的登录页面。我想为每个登录系统的用户执行一些自定义逻辑。基本上，我想在任何用户登录系统时记录，但我不想在主页的Controller上执行此操作，因为每次用户重新加载主页时它都会记录。我还想实现一个在用户登录系统时调用的函数，这样我就可以决定是否授予任何用户访问权限(基于存储在用户数据库中的全套信息)。我怎样才能做到这一点？ 最佳答案 对于您问题的第一部分，我有类似的东西(例如，存储用户登录的最后日期和时间)。我沿着事件触发的服务路线走下去。在您的服务配置中(

我在一个关于信息安全的学校项目中，其中一项作业是用PHP编写一些安全页面。我小组中没有人知道PHP，但这不是什么大问题，我们会学到足够多的知识来创建所需的简单页面。助教们给出的其中一个技巧是使用strip_tags()和mysqli_real_escape_string()这两个函数。我认为这些是安全的，但在没有深入了解的情况下我不确定。一些简单的谷歌搜索至少揭示了过去存在的漏洞。由于任务的一部分是尝试破坏其他组的系统，所以我们自己的系统是安全的，并且在其他组的系统中找到可能的漏洞是很重要的。而且大部分群体都会盲目地使用这两个功能。所以我的问题是:strip_tags()中是否存在任何

我担心在PHP中从未知url获取内容的安全性。我们基本上会使用cURL从用户提供的url中获取html内容并查找OpenGraph元标记，以将链接显示为内容卡。因为url是用户提供的，所以担心在这个过程中有可能获取到恶意代码。我还有一个问题:curl_exec实际上是将整个文件下载到服务器吗？如果是，那么使用curl时是否可能下载病毒或恶意软件？ 最佳答案 使用cURL类似于使用fopen()和fread()从文件中获取内容。安全与否，取决于您对获取的内容执行的操作。根据您的描述，您的服务器作为某种中介从获取的HTML内容中提取特定

在银行网站上填写安全表格时，我一直想知道他们如何知道他们的应用程序是完全安全的。当然，您知道您使用的是SSL，您的帐户“应该”是安全的，并且希望安全问题、帐户限制、超时等应该能保证您的帐户安全。但是测试这个的最好方法是什么？什么决定了您的应用程序的“安全”程度？如果您的代码中某处存在错误怎么办，那么无论您采取多少保护措施都没有关系。我最近为一个网站创建了一个登录名，该登录名将在15分钟后自动注销用户，将在3次尝试失败后锁定他们的帐户，包含一个安全问题，并在SSL上运行。但我需要知道是什么决定了程序的安全性。感谢您的帮助!大都会编辑主要问题是。“测试PHP安全性的最佳方法是什么”。是否有

我的页面上有这段代码:header("Location:$page");$page作为GET变量传递给脚本，我需要任何安全措施吗？(如果是的话)我打算只使用addslashes()但这会填满URL... 最佳答案 我可以将你的用户转发到任何我喜欢的地方，如果我让他们点击一个链接，这绝对是一个很大的安全漏洞(请登录www.yoursite.com?page=badsite.com)。现在考虑一个场景，其中badsite.com看起来与您的网站完全一样，只是它捕获了您的用户凭据。最好在代码中定义一个$urls数组，并只将索引传递给该数组

免责声明:我是网络开发新手。场景:我使用CodeIgniter构建了一个应用程序，最好将其描述为事件日历。应用程序中有一个共享功能，允许您与其他人共享您的事件日历。登录后，用户可以前往共享页面，并从与他们共享事件日历的人员列表中进行选择。目前，当用户选择与他们共享事件日历的人的姓名时，会生成以下URI:http://example.com/folder/controller/method/idid部分是数据库中与个人共享日历的用户的owner_id。问题:很容易将URL的id部分更改为数据库中另一个用户的owner_id。这允许这样做的任何人访问未授权共享其事件日历的个人的事件日历。问

我的PHP很生疏。我有一个通过get传递给脚本的md5散列，然后我像这样获取它:$id=$_GET['id'];显然这里存在安全风险...我正在考虑检查字符串长度以确保它的长度为32个字符，但这对我来说似乎不太可靠。我还能做些什么来让它更安全？谢谢 最佳答案 您可以使用正则表达式进行验证，以确保它只包含字母数字字符。例如像这样(我的PHP也生锈了):if(preg_match("/^[A-Fa-f0-9]{32}$/",$id)>0){//Allgood} 关于php-更好的$_GET安