我正在开发自己的 PHP 框架。似乎我阅读的所有安全文章都使用与我使用的用户身份验证方法截然不同的方法,因此我可以借助一些帮助来查找安全漏洞。
一些在我开始之前可能有用的信息。我将 mod_rewrite 用于我的 MVC url。密码使用每个用户唯一的 24 个字符盐加密。 mysql_real_escape_string 和/或对所有输入的变量类型转换,以及对所有输出的 htmlspecialchars。
每页顶部:
session_start();
session_regenerate_id();
如果用户通过登录表单登录,生成新的随机 token 放入用户的 MySQL 行。哈希是根据用户的盐(从他们第一次注册时开始)和新 token 生成的。将哈希和明文用户名存储在 session 变量中,如果选中“记住我”,则在 cookie 中复制。
在每个页面上,检查 cookie。如果设置了 cookie,将它们的值复制到 session 变量中。然后将 $_SESSION['name'] 和 $_SESSION['hash'] 与 MySQL 数据库进行比较。如果它们不匹配,则销毁所有 cookie 和 session 变量,以便他们必须重新登录。
如果登录有效,则将MySQL数据库中的部分用户信息存储在一个数组中,方便访问。到目前为止,我假设这个数组是干净的,所以在限制用户访问时我引用 user.rank 并拒绝访问,如果它低于该页面的要求。
我已经尝试测试所有常见的攻击,如 XSS 和 CSRF,但也许我在破解自己的网站方面还不够好!我的系统似乎太简单了,实际上并不安全(安全代码只有 100 行)。我错过了什么?
编辑:对于从 Controller 调用函数,任何使用 SELECT 查询以外的任何东西都需要 $_POST 数据来确认删除,例如,除了用户等级要求之外。
我也花了很多时间搜索 mysql_real_escape 字符串的漏洞,但我没有找到任何最新的信息(所有信息至少都是几年前的,而且显然已经修复)。我所知道的是问题与编码有关。如果这个问题今天仍然存在,我该如何避免呢?
我从某处借用并修改的加密函数:
public function encrypt($str, $salt = NULL) {
if ($salt == NULL) $salt = substr(md5(uniqid(rand(), true)), 0, 24);
else $salt = substr($salt, 0, 24);
return $salt.sha1($salt.$str);
}
最佳答案
帮自己一个忙,使用标准库来散列您的密码。
因为安全性往往比大多数程序员单独解决的问题要复杂得多,并且有更多无形的搞砸可能性,所以使用标准库几乎总是最简单和最安全(如果不是唯一)的可用选项。
标准库:
看看:Portable PHP password hashing framework : phpass 并确保尽可能使用 CRYPT_BLOWFISH 算法。
使用 phpass (v0.2) 的代码示例:
require('PasswordHash.php');
$pwdHasher = new PasswordHash(8, FALSE);
// $hash is what you would store in your database
$hash = $pwdHasher->HashPassword( $password );
// $hash would be the $hashed stored in your database for this user
$checked = $pwdHasher->CheckPassword($password, $hash);
if ($checked) {
echo 'password correct';
} else {
echo 'wrong credentials';
}
PHPass 已经在一些非常知名的项目中实现:
好处是你不需要担心细节,这些细节已经由有经验的人编程并在互联网上被许多人审查过。
如果您采用“我会自己做,谢谢”的方法,无论您做什么,都不要再使用 MD5 .这是一个很好的散列算法,但出于安全目的完全损坏。
目前,使用crypt ,使用 CRYPT_BLOWFISH 是最佳实践。
PHP 中的 CRYPT_BLOWFISH 是 Bcrypt 哈希的一种实现。 Bcrypt 基于 Blowfish 分组密码,利用其昂贵的 key 设置来降低算法速度。
有关密码存储方案的更多信息,您还可以阅读 Jeff关于它的博客文章:You're Probably Storing Passwords Incorrectly
关于php - 这种用户身份验证方法的弱点是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2490707/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i