全性

登录应用的PHP安全性

嘿，你们所有的PHP极客和黑客，如果你们中的一些人听了;o)我正在为一些即将推出的网站创建一个登录系统，我相信很多人会使用它-或者至少我希望如此:)所以，我的问题是:什么时候我的登录系统和类似的东西足够安全？它会“足够安全”吗？我得到了表单验证，我在其中检查了发送到数据库的内容。我的密码是md5散列的。人们被告知要创建强密码。是否有一种叫做:“足够安全”的东西？我在想:所有像facebook之类的大网站，一定比这个多吗？这是我需要的东西吗？如果是这样，怎么办？一些链接和类似的东西，会很好。在此先感谢:o) 最佳答案安全是一个永无止

PHP 登录 section 的 stackoverflow security

PHP/curl/文件获取内容。获取远程文件时的安全性和文件大小及类型验证

我想让用户能够从远程URL复制或下载图像，或者从他们的计算机上传文件(可能包括pdf和txt文件等)。为此，我尝试了我的主机支持的file_get_contents和curl。对于本地上传，我只使用php。他们完成传输数据的基本工作。但是，我正在尝试找到验证文件内容的最佳方法，以避免传播恶意代码或用过大的文件加载我的服务器。在许多情况下，文件将动态生成，因此不会以已知扩展名结尾，因此除了缺乏安全性之外，检查文件扩展名不是一种选择。使用header中的MIME类型是一种选择，我有代码可以做到这一点。$file_info=newfinfo(FILEINFO_MIME);//object

curl 文件 section code file_get_contents php security file-get-contents

php - 使用 Paypal 付款提高安全性

我的网站上有这段代码:此代码向process.php发送一个POST，它打开一个paypal类来进行支付。一切正常，但我有一个很大的麻烦。重点是，如果我使用FireBug编辑任何值，例如“itemprice”，任何人都可以更改默认值，并在处理付款时将itemprice替换为任何其他数量。我该如何解决这个问题？有什么想法吗？谢谢。最佳答案加密是阻止这种情况的唯一方法，在客户端你无能为力。您可以尝试添加一些验证服务器端或使用_SESSION，但这些是您唯一的选择。关于php-使用Pay

Paypal php 34 section hidden forms

php - 将 JavaScript 变量发送到 PHP 变量的安全性

我有一个关于安全的问题。我有一个Javascript变量:vartoSearch="something"我想将这个变量发送到另一个php页面。我正在使用session:根据我的阅读，我需要使用AJAXGET/POST过程将此javascript客户端变量传递到PHP服务器端。我知道可以这样做:window.location.href="myphpfile.php?name="+javascriptVariable;然后$_GET['name']变量。我读到这不安全？是吗？最佳答案它只是不安全取决于你用它做什么。任何人都可以在地址

JavaScript 送到 section code pre php ajax

PHP - 访问 Web 根目录之外的文件的安全性

我有一个名为gallery.php的php文件，它是用户特定图片库的页面。为了安全起见，用户图像存储在网络根目录之外。为了为每个用户检索适当的文件，我使用了一个getimage.php文件，该文件从他们的位置提供图像。总而言之，目录结构如下所示:用户图片用户1user1的图片列表用户2user2的图片列表public_html画廊.phpgetimage.phpgetimage.php的写法如下:$imgString=realpath('/UserImages/'.$_SESSION['username'].'/'.$_GET['img']);if(!startsWith($imgSt

PHP Web getimage code html image .htaccess security

php - codeigniter 中的安全性

下午好我对CodeIgniter的安全性有一些疑问，第一个是:我有一个Controller:news.php，其中有一个名为view的方法例子:classNewsextendsCI_Controller{publicfunctionview($id){$this->load->model('news_model');$this->news_model->get_by_id($id);//...}}这种工作形式安全吗？没有通过URL进行SQL注入(inject)的风险？考虑到访问此页面，所以mywebpage/news/number_id。通过intval()过滤会很有趣还是没必要？我的

codeigniter php code section sql-injection

PHP SQL 安全性

我在我的变量上使用了mysql_real_escape_string()，但是通过查看我的日志我注意到来自某人的输入流具有如下条目:${@print(md5(acunetix_wvs_security_test))}1\"or(sleep(4)+1)limit1--等等。一个巨大的列表。他只是尝试而什么都没发生吗？还是我的代码仅使用mysql_real_escape_string()不安全？编辑:我看不到任何损坏，但站点上的大部分输入区域都已尝试过很多次。如果它一次不起作用，他会不会停止，意识到它是安全的？最佳答案这些条目来自A

PHP SQL section mysql_real_escape_string acunetix security

php - 使用 PHP/PDO 存储数据的安全性

在研究了几个小时关于保护存储数据的主题之后，我对现在最好的方法是什么感到有点困惑。我的(SSL)网站有一个数据库，我是唯一可以访问它的人(黑客不算在内)。登录数据存储在文档根目录之外的配置文件中。在数据库中，我有来自客户的姓名和地址之类的东西，我现在担心我需要实现密码学专家提出的所有安全措施，就像这个答案(HowdoyouEncryptandDecryptaPHPString?)或这里要求的(Storingsensitivedatasecurelyinadatabase).因为无论是在我的PDO/SQL和PHP研讨会上还是在stackoverflow上的常规帖子中，我都没有看到正在使用

php strong code stackoverflow encryption pdo

php - PHP bcompiler 编码代码的安全性如何？

如果有人确切知道PHP的bcompiler有多有效/安全/protected，我很感兴趣反对逆向工程。介绍页大胆宣称:Intermsofcodeprotection,itissafetosaythatitwouldbeimpossibletorecreatetheexactsourcecodethatitwasbuiltfrom,andwithouttheaccompanyingsourcecodecomments.Itwouldeffectivelybeuselesstousethebcompilerbytecodestorecreateandmodifyaclass.也许关键词是“

bcompiler php section 长时 obfuscation

表单和 DOM 操作的 PHP 安全性

我与一位同事就PHP的安全性进行了一次有趣的讨论。假设某人有一个运行标准HTML表单的PHP站点。攻击者决定使用Chrome开发者工具并添加DOMenctype="multipart/form-data"和一个文件输入。攻击者上传一个文件，如果它是病毒，它可能不会执行，但它在那一刻仍在使用带宽/存储。这样做文件会进入PHP/tmp目录吗？这不会使每个表单都有些不安全，因为用户可以以任何形式上传文件吗？如果100,000人将其添加到DOM并上传一个随机的千兆字节文件，情况会怎样？这不会暂时让他们达到他们的带宽和/或存储标记吗？最佳答案

DOM PHP section code 该文

3 4 567 8 9