永久登录指的是在浏览器会话间进行持续验证的机制。换句话说,今天已登录的用户明天依然是处于登录状态,即使在多次访问之间的用户会话过期的情况下也是这样。永久登录的存在降低了你的验证机制的安全性,但它增加了可用性。不是在用户每次访问时麻烦用户进行身份验证,而是提供了记住登录的选择。 据我观察,最常见的有缺陷的永久登录方案是将用户名和密码保存在一个cookie中。这样做的诱惑是可以理解的——不需要提示用户输入用户...
ThinkPHP框架是国内比较流行的PHP框架之一,虽然跟国外的那些框架没法比,但优点在于,恩,中文手册很全面,在此不多说了。使用thinkphp官方的WeChat包,使用不同模式可以成功,但是安全模式就是不行,现将分析解决结果做下记录。分析问题:解密微信服务器消息老是不成功,下载下微信公众平台官方给出的解密文件和WechatCrypt.class.php进行比对发现也没有问题。用file_put_contents函数保存下解密后的文件进行分析。发现官方包解密...
php的比较操作符有==(等于)松散比较,===(完全等于)严格比较,这里面就会引入很多有意思的问题。 在松散比较的时候,php会将他们的类型统一,比如说字符到数字,非bool类型转换成bool类型,为了避免意想不到的运行效果,应该使用严格比较。如下是php manual上的比较运算符表:例子 名称 结果 $a == $b 等于 TRUE,如果类型转换后 $a 等于 $b。 $a === $b 全等 TRUE,如果 $a 等于 $b,并且它们的类型也相同。 $a ...
FTP服务器(File Transfer Protocol Server)是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。 FTP是File Transfer Protocol(文件传输协议)。顾名思义,就是专门用来传输文件的协议。简单地说,支持FTP协议的服务器就是FTP服务器。 摘要:本文主要阐述使用PHP的swoole扩展实现ftp服务器,同时扩展ftp服务器个性化功能和安全性。真正实现一个自己完全掌控的ftp服务器,可以个性化定制的ftp服务器。正文:FTP...
在上篇文章给大家介绍了使用PHP如何实现高效安全的ftp服务器(一),感兴趣的朋友可以点击了解详情。接下来通过本篇文章给大家介绍使用PHP如何实现高效安全的ftp服务器(二),具体内容如下所示: 1.实现用户类CUser。用户的存储采用文本形式,将用户数组进行json编码。 用户文件格式:* array( * user1 => array( * pass=>, * group=>, * home=>/home/ftp/, //ftp主目录 * active=>true, * expired=>2015-12-12, * description=>, ...
本文讲述了YII Framework框架的安全方案。分享给大家供大家参考,具体如下: web应用的安全问题是很重要的,在“黑客”盛行的年代,你的网站可能明天都遭受着攻击,为了从某种程度上防止被攻击,YII提供了防止攻击的几种解决方案。当然这里讲的安全是片面的,但是值得一看。 官方提供的解决方案有:如下 1. 跨站脚本攻击的防范 跨站脚本攻击(简称 XSS),即web应用从用户收集用户数据。 攻击者常常向易受攻击的web应用注入JavaScrip...
在网上搜 fsockopen+攻击 可以搜到关于这个函数可以发起ddos攻击的文章,所以很多IDC禁用了php的这个函数。我很奇怪fsockopen可以的话,curl不是也可以吗,各种发起远程请求的函数不是都可以吗,为什么就fsockopen会引起攻击。。。回复内容:在网上搜 fsockopen+攻击 可以搜到关于这个函数可以发起ddos攻击的文章,所以很多IDC禁用了php的这个函数。我很奇怪fsockopen可以的话,curl不是也可以吗,各种发起远程请求的函数不是都可以...
具体来说,现在用的是iPhone进行连接,但这不重要我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了系统无用户登录新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢回复内容:具体来说,现在用的是iPhone进行连接,但这不重要我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提...
http://www.linuxso.com/security/22276... 很多常用的 PHP扩展是以Linux/Unix的多进程思想来开发的,这些扩展在ISAPI的方式运行时就会出错搞垮IIS。请问这个出错搞垮是怎么做的呢?回复内容:http://www.linuxso.com/security/22276... 很多常用的 PHP扩展是以Linux/Unix的多进程思想来开发的,这些扩展在ISAPI的方式运行时就会出错搞垮IIS。请问这个出错搞垮是怎么做的呢?如果没有对多线程做特殊处理的话,任何会带来副作用的函...
PHP有没有一个配置或者什么方式可以开启线程安全的模式? 做多个脚本运行的时候,都是用文件锁的方式来控制并行的,有什么更好的方式让多个PHP脚本通讯吗? 有什么方式可以保证PHP脚本运行的线程安全吗?回复内容:PHP有没有一个配置或者什么方式可以开启线程安全的模式? 做多个脚本运行的时候,都是用文件锁的方式来控制并行的,有什么更好的方式让多个PHP脚本通讯吗? 有什么方式可以保证PHP脚本运行的线程安全吗?这么解释问题...
本人比较菜,目前使用的方案是1.在客户端COOKIES中保存用户ID和一个加密码(规则只有我知道) 2.如果程序检测到客户端保存的COOKIES ID。就去跟数据库验证加密码,如果一致则返回对应用户的登录信息,否则返回FALSE感觉效率和安全性都不是很好1.用户访问每个页面都要去跟数据库验证一遍 2.加密码虽然规则很复杂,但是保存在客户端依然存在被破解的可能性回复内容:本人比较菜,目前使用的方案是1.在客户端COOKIES中保存用户ID和一个...
应用的场景就是用户可以输入任意文本,但是不能输入类似html这样的代码在php 中可以通过 FILTER_SANITIZE_STRING 去过滤用户输入过滤之后的内容是不是足够安全了呢,还用作其他的比如针对xss过滤吗回复内容:应用的场景就是用户可以输入任意文本,但是不能输入类似html这样的代码在php 中可以通过 FILTER_SANITIZE_STRING 去过滤用户输入过滤之后的内容是不是足够安全了呢,还用作其他的比如针对xss过滤吗标题里面提到了 足够安全 ...
研究了几天session安全,得出几个观点,请指正: 可以xss通过获得cookie信息,包含sessionid 可以通过截取http,获得header信息,包含sessionid 以上两种法都有一定条件和难度 如果服务端单靠sessionid识别会话信息,那么通过xss获取了sessionid后,会泄露用户信息,如果再通过ip,useragent信息加以校验,可以减少风险 如果截取了http,换用https方式可以减少风险 即便是使用https,ssl证书也是可以伪造 结论: xss漏洞更低级一些...
CentOS 6 + Apache + MySQL + PHP最简单实用的安全设置怎么做?当然用软件也好,如nagios。不用那个,手动配置呢?回复内容:CentOS 6 + Apache + MySQL + PHP最简单实用的安全设置怎么做?当然用软件也好,如nagios。不用那个,手动配置呢?关闭 selinux 或者设置为 permissive 可能能使你更方便的使用 php 等的软件。 但是系统安全级别可能就降低了。 iptables 还是要一定开启的,防火墙 ACCEPT 80 和 ssh 的端口 其他 REJECT,...
要简单点 保障安全 不要求多用户 保护多个页面 用户体验好 已经做好了admin.php index.php add.php update.php delete.php等页面。现在要把除index.php页面外的所有页面保护起来,如果没有登录login.php的,其它页面都不能访问。找一套已经写好的代码。问得不好请轻踩,Google了下,没有找到合适的。求推荐。回复内容: 要简单点 保障安全 不要求多用户 保护多个页面 用户体验好 已经做好了admin.php index.php add.php update.php...