草庐IT

安全开发

全部标签

php - 使用 query_string 在 php 中提供一些额外安全性的函数

几年前,我开始在页面顶部使用以下代码。我读到这很好并使用了它。但我想知道,这有帮助吗?$page="index.php";$cracktrack=$_SERVER['QUERY_STRING'];$wormprotector=array('chr(','chr=','chr%20','%20chr','wget%20','%20wget','wget(','cmd=','%20cmd','cmd%20','rush=','%20rush','rush%20','union%20','%20union','union(','union=','echr(','%20echr','echr%

php - Slim + Twig - 如何在开发过程中关闭 Twig 缓存?

这是我将它注入(inject)到Slim容器中的TwigView://ViewsandTemplates//https://www.slimframework.com/docs/features/templates.html$container['view']=function($container){$settings=$container->get('settings');$loader=newTwig_Loader_Filesystem('templates');$twig=newTwig_Environment($loader,array('cache'=>'cache',))

php - 在 codeigniter 中使用 required once 或在 helper 中创建一个函数哪个是安全的?

我在从另一个Controller调用Controller时遇到了一个问题,stackoverflow的一个用户建议使用require_once但另一个人说这不是一个好主意,现在我很困惑,哪个安全?使用require_once还是在helper中写一个函数?Oldquestionlink 最佳答案 我想说的是,一般来说,从另一个Controller中调用一个Controller并不是最佳做法。如果两个Controller需要使用相同的逻辑,那么也许该逻辑应该在一个单独的地方。这可以通过创建您自己的库并将其加载到两个Controller

php - 允许用户在 TWIG 中添加任何代码是一个安全漏洞吗?

关闭。这个问题需要更多focused.它目前不接受答案。想改进这个问题吗?更新问题,使其只关注一个问题editingthispost.关闭3年前。Improvethisquestion在我的应用程序中,我想允许用户添加他自己的Twig代码。但是,我不希望它执行任何后端代码(例如用于访问数据库或文件的PHP代码)。我已经使用php代码测试过.我可以看到PHP代码没有在Twig页面上执行。据我所知,我可以说除非调用扩展,否则无法在Twig文件中执行PHP代码(可以操作文件或数据库)。但是,我只想知道更多的建议。

phpmyadmin 安全

我有一个带有apache2、php、mysql的生产服务器。我现在只有一个站点(mysite.com)作为虚拟主机。我想把phpmyadmin、webalizer和webmin放在那里。到目前为止,我安装了phpmyadmin,它可以工作,但整个互联网都可以访问mysite.com/phpmyadmin如何降低192.168.0.0/16的可见性,以便防火墙后面的机器只能访问它? 最佳答案 1)您可以在网络服务器级别进行。为apache使用允许/拒绝规则。如果您不能直接访问您的apache配置文件,您可以使用.htaccess文件。

用于开发 .mobi 网站的 PHP 框架

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。关闭5年前。Improvethisquestion我正在拼命寻找最适合开发.mobi网站的PHP5框架。它应该包含的一个主要功能是浏览器对不同手机的识别,以便该网站能够在所有类型的手机上正常运行?

php - 使用 Ajax 和 jQuery 通过 PHP 脚本登录用户,是否安全?

快速提问,使用jQuery中的jQuery.post函数将用户登录信息传递给PHP脚本是否安全?我正在考虑使用这样的一段代码:$("#login_form").submit(function(){varunameval=$("#username").val();varpwordval=$("#password").val();$.post("backend.php",{username:unameval,password:pwordval},function(data){$("#statusp").html(data);});returnfalse;});我只是想知道这是否与创建在提交

php - cURL 关于虚拟主机命名的本地开发网络问题

尝试在虚拟服务器上进行一些本地测试,问题是cURL返回http_code=>0我认为这与我的虚拟主机命名有关。虚拟主机名:dev.projectcURL请求正在添加http://如果我从命令行ping:dev.project,就会成功。如果我用http://dev.project试试我得到了未知的主机。是否有一个curl_setopt选项只是为了使用主机名?我不确定我是否可以使用该IP,因为服务器上有多个项目,或者Apache会处理这个吗?这是我尝试过的:$request_url='dev.project';$request_args='parm=1234';$user_agent='

php - 使用 Cookie 记住我时的安全性

我已经在PHP中实现了一个登录类,并希望创建一个记住我类型的功能,这样用户就不必在每次访问时都登录。我对此进行了一些研究,并准备使用PHPsetcookie(...)编写它,但随后遇到了这个页面:HowtoCreate'RememberMe'usingjquery,storecookies.我本来打算用PHP写这个,因为这是我的强项,但是这个页面让它在js中看起来很简单:http://www.quirksmode.org/js/cookies.html我正在寻找关于每种方法的陷阱的一些指导,更具体地说是与安全相关的问题。我只是想确保我不会通过提供此类功能使任务复杂化或打开任何漏洞。谢谢

php - PHP 5.2 是否仍会收到安全补丁?

我的服务器管理员告诉我PHP5.2已经停产,因此没有任何错误修复。显然是这样的。他还告诉我5.2没有收到安全补丁,这表明我们应该尽快升级到5.3。然而,我尊敬的一位程序员告诉我,虽然PHP5.2已因错误修复而停产,但就安全漏洞而言,它仍然受到大力支持-至少到2012年。我搜索了stackoverflow和谷歌,但没有找到这个基本问题的答案。有人关心我的无知吗? 最佳答案 此类信息通常作为新闻发布在php.net站点上。这是我在PHP5.3.6Released!中找到的从2011年开始:AllPHPusersshouldnotetha