我在 000webhost 上有一个 PHP/MySQL 网站(http://www.boisvert.me.uk;但目前正在审查中),我担心它的安全性。我正在尝试做的事情会使任何网站都容易受到攻击;它相当于给 children 一把锋利的剪刀。我有各种想法来最大程度地减少网站的漏洞,但欢迎提供更多建议。
特别是,有两个脚本:
上传脚本。其目的是允许注册站点用户上传某些 XML 文件(教程)。显然,要做到这一点,站点上的一个文件夹会为访问者提供写入权限。我不喜欢那样,但我没有找到解决办法,我可以向脚本添加检查(类型、大小)以确保上传的文件仅限于 XML 和一些图像。还有其他我可以改进的地方吗?
脚本 2 是 PHP 的解释器 - 用户可以在表单中输入 PHP,它将执行(无需保存)。我希望允许用户尝试访问数据库,因此粗略的字符串替换确保我不需要泄露 MySQL 访问信息。但攻击者可以使用此解释器获取对文件区域的访问权限并上传不受欢迎的 Material 。我的解决方案是将解释器放在一个单独的域中,不能上传任何文件。
欢迎提出任何改进建议,禁止“不要这样做”。我知道这很危险。过马路也是如此。感谢您的帮助。
最佳答案
第一点已包含在之前的答案中(并且可能在本网站的其他地方多次包含)
对于第二点,如果你觉得你必须拥有它,我会提出一些建议。您可以编译自己的 PHP 二进制文件,排除所有您不希望用户需要的选项(也许省略除 MySQL 之外的所有选项)。然后你应该创建一个 php.ini 文件来禁用任何有潜在危险的功能(为此使用 disable_functions 配置选项 - 请参阅其他答案)。将内存使用和 CPU 时间限制为合理的数字(对于您希望允许用户运行的简单脚本)。现在我们应该能够使用 system("chroot/path/to/secure/dir ./php tempfile.php"); 之类的东西在 chroot 环境中运行所有这些。/path/to/secure/dir 应该是您将用户 PHP 脚本写入临时文件的目录。它应该包含 PHP 可执行文件和安全的 php.ini 文件。这些文件和安全目录应该由运行脚本的用户(特别是 PHP 可执行文件和 php.ini 文件)以外的用户拥有,并且任何人都不可写。安全目录应该在网络根目录之外。
现在,我不会假装我已经想到了所有事情,但希望这些想法可以成为您安全环境的基础。
关于PHP/MySQL 安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5989130/
我想为Heroku构建一个Rails3应用程序。他们使用Postgres作为他们的数据库,所以我通过MacPorts安装了postgres9.0。现在我需要一个postgresgem并且共识是出于性能原因你想要pggem。但是我对我得到的错误感到非常困惑当我尝试在rvm下通过geminstall安装pg时。我已经非常明确地指定了所有postgres目录的位置可以找到但仍然无法完成安装:$envARCHFLAGS='-archx86_64'geminstallpg--\--with-pg-config=/opt/local/var/db/postgresql90/defaultdb/po
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我的最终目标是安装当前版本的RubyonRails。我在OSXMountainLion上运行。到目前为止,这是我的过程:已安装的RVM$\curl-Lhttps://get.rvm.io|bash-sstable检查已知(我假设已批准)安装$rvmlistknown我看到当前的稳定版本可用[ruby-]2.0.0[-p247]输入命令安装$rvminstall2.0.0-p247注意:我也试过这些安装命令$rvminstallruby-2.0.0-p247$rvminstallruby=2.0.0-p247我很快就无处可去了。结果:$rvminstall2.0.0-p247Search
由于fast-stemmer的问题,我很难安装我想要的任何rubygem。我把我得到的错误放在下面。Buildingnativeextensions.Thiscouldtakeawhile...ERROR:Errorinstallingfast-stemmer:ERROR:Failedtobuildgemnativeextension./System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/bin/rubyextconf.rbcreatingMakefilemake"DESTDIR="cleanmake"DESTDIR=
当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
首先回顾一下拉格朗日定理的内容:函数f(x)是在闭区间[a,b]上连续、开区间(a,b)上可导的函数,那么至少存在一个,使得:通过这个表达式我们可以知道,f(x)是函数的主体,a和b可以看作是主体函数f(x)中所取的两个值。那么可以有, 也就意味着我们可以用来替换 这种替换可以用在求某些多项式差的极限中。方法: 外层函数f(x)是一致的,并且h(x)和g(x)是等价无穷小。此时,利用拉格朗日定理,将原式替换为 ,再进行求解,往往会省去复合函数求极限的很多麻烦。使用要注意:1.要先找到主体函数f(x),即外层函数必须相同。2.f(x)找到后,复合部分是等价无穷小。3.要满足作差的形式。如果是加
