这是我的故事,有点长-请容忍我:)我现在是这里唯一的程序员,还没有太多的设计要做。当我开始的时候,我们没有源代码管理,—直接从“开发”服务器编辑的文件—它使用rsync来同步到生产服务器。我没有太多的经验做这类事情-这是我的第一份工作(我19岁)-但我有什么设置类的工作,但我不知道它是否会很容易与一个设计师和/或更多的程序员。我的IDE是Zend。项目是SVN签出的项目。当我需要做一个更改时,我会这样做,保存它并点击我的本地计算机,它有apache安装程序来读取该项目中的那些文件。它们大多是webservices或者仅仅是一个文件,而不是整个项目。我开始了另一个项目,它要求我使用一个完
我见过许多声称拥有银行级安全加密的网站。如果他们的网站是用php构建的,那么除了使用mysql_real_escape_string和128位ssl加密之外,还有哪些其他形式的安全措施可以存在? 最佳答案 当一家公司宣传“政府实力”或“银行级”安全时,他们可能在谈论FIPS140加密标准。大多数情况下,密码学并不是保护现实世界系统的问题。例如这个USBKey非常脆弱,它使用了AES256的“FIPS140”卖点!一个128位的数字是巨大的,它的AES128符合FIPS140。拥有更多的比特只是阴茎测量比赛。美国政府很难成为安全的榜样
我有一个分类网站,每个分类里面都有一个小表格。这个表单是为了让用户能够给他们的“friend”打赏:Tip:"name="ad_id2"id="ad_id2"/>"name="headline2"id="headline2"/>然后将表单提交到tip.php页面,这是我的问题,下面的代码是否安全,即它是否足够好,还是我需要做一些卫生和更多安全细节?$to=filter_var($_POST['email2'],FILTER_SANITIZE_EMAIL);$ad_id=$_POST['ad_id2'];$headline=$_POST['headline2'];$subject='Yo
我目前正在研究一些symfony表单定制,其中包括编写小部件或更好地扩展现有的小部件。然而,事实证明这比我想象的要复杂得多,因为验证、表单元素、对象保存、动态javascript等功能似乎散落在各处。您会发现许多非默认小部件很难扩展,因为它们通常不会将JavaScript与HTML分开。那么最佳实践表单/小部件开发指南应该是什么?我愿意总结这些准则。只是现在我不太确定它们会是什么样子。让我们一起集思广益!将HTML与PHP分开将Javascript放在额外的文件中(不引人注目)不要将你的CSS样式强加于他人不要写巨大的方法,而是写小的可扩展/可重载的方法..您认为还应该包括哪些内容?原
我目前正在将NABTransact支付网关集成到电子商务商店中。处理完付款后,NABTransact系统会向我们的端点发送POST请求,以便我们处理结果。问题是POST请求不包含我们可以用来回发到NABTransact系统以验证请求是真实的而不是欺骗性的安全哈希/token。更糟糕的是,NABTransact系统甚至没有用于任何信息的任何身份验证的API,从本质上讲,安全性非常差!有没有办法安全地验证这些请求?例如,检查请求是否来自NAB交易系统运行的已知IP地址列表?还是反向查一个IP?有哪些选项?您将如何在PHP中实现它?IP身份验证不是很安全,因为它可以被欺骗吗?
我需要允许站点用户提供远程“热链接”图像。我意识到这有点危险,所以这是目前的程序:1)解析使用PHPpathinfo提供的路径,并将路径分成几部分(主机、文件名、扩展名),然后正确转义。2)按照此处所述对图像header执行curl请求:HowcanonechecktoseeifaremotefileexistsusingPHP?并验证它是否具有有效的png或jpgmime类型和HTTP200返回码。3)验证文件名和扩展名(来自上面的路径信息)是一个有效的png或jpg文件(我不接受gif等)4)最后,将图片路径数据存储在DB中的多列中(转义数据)我错过了什么吗?是否还有危险潜伏?我在
我正在尝试在我的网站上执行“记住我”并将以下代码添加到我的登录脚本中。密码通过sha1()函数运行,用户名在分配给SESSION之前经过修剪并通过mysql_real_escape_string()运行。我怎样才能使它更安全,防止劫持。谢谢。if($_POST['remember']){setcookie("CookieUser",$_SESSION['usrename'],time()+60*60*24100,"/");setcookie("CookiePass",$_SESSION['password'],time()+60*60*24100);} 最佳
我不确定标题是否是提出这个问题的正确方式,但就这样吧。案例:我正在使用CodeIgniter(2.1.3)进行AJAX调用并获取JSON数据。意识到您无法真正“保护”AJAX,因为用户始终可以访问JavaScript,我想知道有什么可能使人们尽可能难以自动化AJAX调用。假设您有一款游戏,您不断请求队列数据来build建筑物和训练部队。如果我想对那个网站进行机器人操作,我可以找出AJAX调用的工作原理,然后编写一个脚本让我自己登录域并手动调用AJAX调用。这样做的目的是;可能有10000人试图对网站进行机器人攻击,我在AJAX调用中构建的障碍层可能会将这10000人减少到大约100人,
关闭。这个问题是off-topic.它目前不接受答案。想改进这个问题吗?Updatethequestion所以它是on-topic用于堆栈溢出。关闭9年前。Improvethisquestion我正在尝试寻找无需使用鼠标即可调试具有大量ajax和javascript的单页应用程序的最佳方法。我注意到,我大部分时间都花在单击Web应用程序的面板上,然后在firebug/chrome开发人员工具中查看结果。我习惯于使用emacs进行开发而无需触摸鼠标,但如何使用浏览器进行同样的开发?
我有一堆域对象,我正在使用重载来获取和设置属性。我的表单过滤器很全面。如果错误类型或值的属性偷偷溜进来,我相信我可以在映射器中找到它们。最坏的情况是数据库抛出一个我可以捕捉到的异常。在这种情况下,我应该担心域对象中的getter和setter吗? 最佳答案 作为最佳实践,在访问数据库之前,您应该始终“捕获你能抓到的东西”。虽然往返行程似乎没什么大不了,但它们很昂贵。必须在服务器上创建对象、管理应用程序池资源等等。在您访问数据库之前,尽您所能进行所有验证,尽管这很乏味。您依赖数据库抛出异常的原因是通过其他形式的访问(例如导入脚本)确保