我很好奇PHP在嵌入了PHP代码的HTML网页(在服务器上作为“webpage.php”存在的网页)或可能被HTML页面引用的PHP脚本上的安全性(也就是说，一个PHP脚本实际上不是网页的一部分，它作为“something.php”存在于服务器上并被“webpage.html”引用)。言归正传，让我们说，如果任何人都知道我的PHP脚本的源代码，那将是一个非常大的问题。我知道当您在浏览器中查看PHP页面的源代码时，不会显示PHP脚本，但是如果PHP服务器出现故障并且HTML仍然加载(甚至可能)，用户是否能够看到PHP脚本？更一般地说，是否有任何可能的方式让用户可以从Web浏览器访问PHP

我使用此类(取自博客教程)生成唯一键来验证表单:classformKey{//Herewestorethegeneratedformkeyprivate$formKey;//Herewestoretheoldformkeyprivate$old_formKey;//Theconstructorstorestheformkey(ifoneexcists)inourclassvariablefunction__construct(){//Weneedthepreviouskeysowestoreitif(isset($_SESSION['form_key'])){$this->old_fo

我正在使用get方法为评论系统执行一些操作，如批准、标记垃圾邮件、删除。我知道走这条路很不安全，但我无能为力。因为使用$_GET方法的原因是使用PHP_SELF在页面本身内执行操作，仅供引用，我也使用使用复选框的post方法来执行操作。现在为了让它有点安全，我想随机化数字或生成哈希或其他东西，然后比较它，获取id并执行操作我现在的代码有点像这样。">Unapprove">Approve|">Spam|">Edit|">Delete然后我使用这段代码执行操作..if(isset($_GET['approve'])){$id=intval($_GET['approve']);$query=

在我的注册表中，我进行了ajax调用以检查用户名是否可用。但是，我担心这会打开系统以供机器人检查有效用户名。如何保护服务免受外部调用？谢谢 最佳答案 HowcanIsecuretheservicefromexternalcalls?好吧...任何试图注册的用户都将是“外部电话”!我不认为用户名检查会带来安全风险。机器人可以注册为fsdjiojiejfio并且非常确定之前没有人使用过它。我宁愿花时间来确保注册过程的安全，这样即使使用有效的用户名，机器人也无法注册。 关于php-用户名可用性

我在一个cakephp应用程序中工作，我在其中使用Security::cipher来加密一些数据。它工作得很好，但我已经将文件和数据库移动到另一台服务器，现在加密结果不同了。我试过一些简单的线条:$security=newSecurity;$code=$security->cipher('1234',Configure::read('Security.cipherSeed'));当我打印$code时，两个服务器中的值不同。我在两个core.php文件中配置了相同的Security.cipherSeed。Security::cipher函数是否使用某些服务器值进行加密？谢谢。

index.php:define("included",true);包含的页面:if(included!==true)header('HTTP/1.1404NotFound');代码的目的是禁止直接访问，但如果包含则允许访问。我不确定这是否会带来任何风险。我不允许覆盖.htaccess，所以我只能使用PHP替代方案。如有任何帮助，我们将不胜感激! 最佳答案 更性感的方式是……defined('included')ORexit;即使用正确的函数(defined())查看是否定义了一个值，然后利用shortcircuitevaluati

我创建了两个简单的函数来过滤插入的数据，然后再将其输入到mysql查询中。对于表单字段(我也使用正则表达式来单独检查每个字段。//Formfilterfunctionfilter($var){//HTMLisnotallowed$var=strip_tags(trim($var));//Checkmagicquotesandstripslashesif(get_magic_quotes_gpc()){$var=stripslashes($var);}//Notusingitrightnow,isitrecommended?//$var=htmlentities($var,ENT_QUO

我在一台开启了安全模式的服务器上。现在服务器允许.htaccess文件。我的public_html文件夹中有一个带有Wordpress设置的文件。现在我想在一个子域中插入一个启用安全模式的.htaccess文件。我试过这些:php_valuesafe_mode0php_flagsafe_mode0php_valuesafe_modeoffphp_flagsafe_modeoff但都没有用。有人知道我该怎么做吗？我不能要求服务器所有者禁用安全模式，而且基本上不能要求他任何事情。 最佳答案 无法更改.htaccess中safe_mode

您好，我最近在谷歌上搜索以寻找通过互联网发送用户信息(包括密码)的更好方法。我们的服务器没有安装SSL。所以需要一个非常简单和安全的方法来发送用户信息。将来我的老板想扩展它以连接用.net(C#)编写的桌面应用程序。所以这些方法也应该与.net兼容。我需要建议或任何我能得到的好主意来开发更好的解决方案。 最佳答案 一些想法:使用TLS/SSL。真的。现在可以免费获得Web服务器证书。使用TLS/SSL。我真心的。不要天真地认为您可以做一个家庭酿造的解决方案，无论您能想象到哪种复杂的加密算法，它都可以胜过像TLS/SSL这样安全且易于

我听说处理上传图像的最佳方法是使用GD库“重新处理”它们并保存处理后的图像。参见:PHPimageuploadsecuritychecklist我的问题是如何在GD中进行这种“重新处理”？这到底是什么意思？我不太了解GD库，我担心我会把它搞砸......那么如果有人以前这样做过，你能给我举个例子吗？(我知道，另一种选择是使用ImageMagick。对于ImageMagick，我在这里找到了答案:RemoveEXIFdatafromJPGusingPHP，但我现在不能使用ImgMagick。顺便说一句......删除EXIF数据意味着完全重新创建图像这种情况？)(如果有人感兴趣，我正在使