有很多方法可以检测您是否在本地主机或服务器上运行PHP代码。然而，他们使用$_SERVER和可以被用户伪造的httpheader。这对我来说很严重，因为我在我的网站上制作了一个开发人员phpshellinteractive，如果它不在本地主机上，它应该转到404。 最佳答案 最直接的答案是$_SERVER["REMOTE_ADDR"]。它通常被认为是相当安全的。但是，如果您通过脚本提供对命令行命令的访问，这可能还不够。可能可以通过IPspoofing.从外部向您的脚本发送请求这可能足以触发破坏性命令，即使IP欺骗通常意味着攻击者不会

我编写了一个需要登录的PHP应用程序。此应用程序是私有(private)的，因此没有新用户可以注册。首先，我使用session来识别用户，但这会导致平板电脑出现问题，因为他们丢失了session。我认为这是因为节能操作。现在我更改了我的应用程序以生成随机安全token。所以鉴权如下:登录生成随机安全token并将其保存到磁盘将浏览器重定向到http://myhost/site?id=[securitytoken]在服务器端，我检查文件是否存在——如果存在，则用户已通过身份验证现在一切正常，我只是在考虑安全问题。如果用户看到安全token，则没有问题。当我使用GET时，是否有可能以某种方

我通过ApiKey进行授权，如果没有提供授权数据，我想得到401Unauthorized，如果授权数据无效，我想得到403Forbidden.但是我在这两种情况下都遇到了500InternalServerError。security.yml:security:providers:api_key_user_provider:entity:class:RestBundle:RestUserproperty:apikeyfirewalls:rest_api_area:pattern:^/apistateless:truerest_auth:header:x-apikeyprovider:ap

我在亚马逊上运行一个EC2实例和一个RDS实例，一切正常。我升级了RDS的实例类型，还更改了主密码，就像我经常做的那样。但是在修改之后，我尝试登录我的应用程序(比如，在我点击“立即修改”30秒后')，在我更改我的laravel.env文件中的数据库凭据之前，突然我看到一个错误页面，在我将它们更新为正确的之前，完全暴露了我的数据库凭据这2-3分钟在.env文件中。不用说，在这段时间里，至少有几十个人可能也试图访问我的应用程序。所以我想知道这是否是我自己的不良安全做法，或者是否是一些尚未处理的Laravel缺陷？错误消息看起来像这样-(我用realUserName/realPassword

我在子域a上有一个xml文件，在子域b上有一个php脚本。我想通过PHP读取和使用XML文件中的数据。这里是陷阱。该文件使用HTTP身份验证进行保护。如何使PHP登录并读取文件内容？ 最佳答案 urlwrappers支持http://USER:PASS@yourdomain.com/foo/bar形式的URL，因此您可以简单地使用file_get_contents.或者，您可以使用cURL获取它，或者使用curl命令行，或者使用curlextension.如果做不到这一点，您可以使用fsockopen等手动编码请求。Basicaut

嗨，这是我第一次这样做。我读过Thedefinitiveguidetoform-basedwebsiteauthentication和http://en.wikibooks.org/wiki/PHP_Programming/User_login_systems，但我仍然怀疑我这样做是否正确。注意:我这样做是为了学习，所以请不要建议框架和phppearauth或任何其他相关类。我只需要一些指导，了解我可以做些什么来改进这一点。我不需要CIA风格的安全性，只需要一些基本的登录站点:无论如何，这就是我的登录方式:等待用户点击登录if(isset($_POST['action'])&&$_PO

我正在设置PaypalPro并正在考虑安全存储密码的方法。这是Paypal的测试代码和注释。我应该如何更改它以安全地保护密码？我在这里只存储1个密码-我们的API密码。/**#API_password:ThepasswordassociatedwiththeAPIuser#IfyouareusingyourownAPIusername,entertheAPIpasswordthat#wasgeneratedbyPayPalbelow#IMPORTANT-HAVINGYOURAPIPASSWORDINCLUDEDINTHEMANNERISNOT#SECURE,ANDITSONLYBEIN

我有一个包含用户ID、用户名和密码的mysql表，如果给定的密码与给定的用户名匹配，我将创建3个cookie:用户名用户名userpassword(md5)-我创建它是因为当用户保存重要设置时(不要求用户填写表格)我会从cookie中重新检查密码和用户名。我听说这不安全，我应该只使用cookie来存储sessionID，并将此数据存储在session中，但代码看起来如何？请解释一下代码，因为我是PHP的初学者。哦，我想长期记住用户，我不喜欢每次都需要重新登录的网站。请帮助我并解释为什么一种方法比其他方法更安全？谢谢!感谢您的回答!我需要回答我的问题:我的网站不需要比简单论坛更高的安全性

我有一个简单的表单，想验证发布的值是否来自该表单的目录，而不是来自外部来源。"method="POST">我需要在session中存储一些东西吗？一个简单的例子将非常有帮助。谢谢。 最佳答案 创建表单时，您可以使用:"method="POST">"/>当有人发帖时，您需要检查发帖请求是否具有正确的哈希值。你可以使用: 关于php-形成邮政安全。确保它不是来自外部来源，我们在StackOverflow上找到一个类似的问题： https://stackoverfl

我使用基于LAMP的网站，尤其是Drupal，想知道是否有人知道一个好的安全检查表来帮助审计新的和现有的商业网站的安全漏洞？干杯。 最佳答案 Web应用程序安全的最佳资源无疑是OWASPTop10.OWASP是一个非营利性、技术无关的组织，致力于提高Web应用程序的安全性。他们制作了一份名为“十大最关键的Web应用程序安全风险”的文档，该文档非常容易使用，应该涵盖您需要了解的电子商务应用程序的每个角度。我建议仔细阅读Top10中的每一个(PDF版本非常方便-每页1个风险)，了解风险和影响，然后确保您知道如何在PHP中适本地减轻这种风