我有一个Joomla!1.5客户要求对其安装的健康状况、SEO和安全性进行审核。乔姆拉!ToolSuite/HISA不再存在；我可以使用任何类似的扩展吗？如果不是，那么在评估Joomla!时通常必须解决的主要问题是什么？网站的健康和安全？谢谢! 最佳答案 我不知道有什么软件可以帮助Joomla分析这个问题。我可以花几个小时来研究这个...，这是简短的版本;-)健康:确保客户端已更新为最新版本的Joomla1.5，其中包括所有最新修复程序，例如:xss、sql注入(inject)等...确保PHP设置正确确保MySQL设置正确随着时间

大家好。我需要这样做:当用户X按下按钮时，用户Y会看到一张照片。在那个用户Y什么都看不到之前。我是这样做的:我在mysql服务器上创建了一个数据库，并创建了一个包含照片和旗帜的表。当用户X按下按钮时，我发送一个ajax请求并将标志更改为相应的照片。用户Y还每1秒发送一次ajax请求以查看是否有任何更改。听起来不错，看起来不错，能用……确实如此，但还不错。当100000个用户每1秒发送1个ajax请求时，服务器崩溃。首先是mysql服务器，然后是apache。所以...我的问题是，在没有这么多ajax请求的情况下，有没有办法做到这一点？像发送带有特定“东西”的页面，告诉浏览器保持相同的套

看完网站上的一篇文章后，我真的很担心自己服务器的安全......在一个PHP文件中，该文件后来包含在我向用户显示的所有主要php页面中，我的用户名和密码(在我的整个网站上使用-服务器根目录，mysql根目录等)以纯文本插入...有什么可担心的吗？任何人都可以读取php文件(比如下载它并读取它而不是让服务器执行它)吗？是否存在我的用户名和密码被盗的风险？它们是为变量提供值的简单文本字段。如果是这样，您有什么建议的解决方案吗？像一个加密引擎？还是什么？提前致谢! 最佳答案 将包含用户名和密码的配置文件存储在可公开访问的根文件夹之外。例如

我有一个脚本，用户可以输入一个图像URL(来自另一个网站)，然后使用JS裁剪它并将它保存在我的服务器上。我的问题是...从另一台服务器获取图像时，使用CURL还是allow_url_fopen(通过file_get_contents())更安全？或者是否有首选/更安全的方法可用？安全是我的一个大问题，因为我知道这是一个非常危险的过程-如果这会产生影响，脚本将只需要对图像文件起作用。谢谢 最佳答案 curl的错误处理比file_get_contents()好得多。如果您关心这一点，那么curl可能是您的不二之选。不过，如果简单的“哎呀

我刚刚和一个同事吵架了。我的index.php包含我的mysql连接，因此也包含主机、用户名、密码和数据库名称。他声称这是一个安全线程，因为php解析器可能会失败，这会导致网络服务器将整个文件作为纯文本返回。然而，我相信如果php解析器失败，网络服务器会给用户一个内部服务器错误。谁能确认它是否存在安全风险？谢谢。 最佳答案 简短的回答是否定的。长答案是肯定的，但前提是:您的服务器已被入侵，在这种情况下，阅读您的php文件的人是您最不担心的您错误地配置了服务器来解析.php文件和纯文本，这确实非常愚蠢。此外，如果您正在使用某种版本控制

我们有一个系统必须执行用户输入提供的计算。我发现进行其中一种计算的最简单方法是eval——尝试找出一个解析器用于:(3+6)/2+27*5/2只是看起来很难。如果有人对此有解决方案-我很乐意听到。假设您要使用EVAL(我知道它的可怕功能)，允许他们在该框中键入他们想要的任何内容将是一个主要的不安全因素。所以，我提出这个问题，如果我做一个正则表达式，删除除数字、标准运算符(+-/*)和括号之外的所有内容，比如$equation=preg_replace('/[^0-9+-\/*()]/','',$input_equation);$result=eval($equation);系统是否可能

我正在散列密码、在读取session数据时匹配用户代理，以及安全登录用户所需的一切。我对安全检索/读取session数据的方法很感兴趣。例如，我正在使用一个从session数据数组中获取用户ID的函数...在数据库表中:a:6:{s:9:"user_data";s:0:"";s:7:"user_id";s:1:"3";s:9:"firstname";s:4:"Tina";s:8:"lastname";s:3:"Fey";s:8:"username";s:8:"lizlemon";s:6:"status";s:1:"1";}函数(代码点火器):functionget_user_id(){

我已经为这类问题苦苦挣扎了一段时间，似乎找不到任何信息或示例代码来在PHP和JavaScript之间传输一些数据。我看到了很多方法来做到这一点，但并不安全。我的意思是，当您在系统之间传输一些可变数据时，它会在加载时直接显示在页面的查看源窗口中。真正需要的是一种传输数据的方法，但要安静且安全地进行，以便在加载页面时它不会显示在用户端。简而言之，有没有办法做到这一点，可能怎么做？我已经尝试过，使用XML文件传输数据，也使用JSON，直接使用echo+，或者在php中的?>缩写之后。但是到目前为止，我使用的每一种方式都会在加载时显示在页面的源代码中。 最佳答案

我将制作一个简单的网络应用程序。它最多只有几页，应用程序的主要重点是调用API并使用该信息执行操作。我想知道确保apikey安全的最佳方法是什么。我可以使用非常轻量级的框架吗？我应该只在根目录下创建一个php页面吗？我可以使用codeigniter构建一些东西，但这似乎无法满足我的需要。 最佳答案 将APIkey保存在Web根目录之外的文件中。然后将该文件包含在需要使用它的任何文件中。通过将其置于Web根目录之外，无法通过Web浏览器或其他类似方式直接访问它。 关于php-如何安全地使用

在我的codeingiterWeb应用程序中，目录“application”和“system”内的每个子目录都有一个index.html文件。在这个HTML文件中，有一条看起来像是标准错误消息的内容。它包含以下代码:403ForbiddenDirectoryaccessisforbidden.我假设创建这些文件是为了如果有人试图访问“应用程序”或“系统”中的目录，它不会列出所有文件，而是会显示错误。这些似乎是多余的，因为我在每个目录中添加了一个.htaccess以拒绝所有访问。这两个目录中的每个PHP文件也有第一行:if(!defined('BASEPATH'))exit('Nodir