公司现在用git来管理PHP语言开发的项目,为了防止代码泄露,怎么讲PHP的代码进行加密?回复内容:公司现在用git来管理PHP语言开发的项目,为了防止代码泄露,怎么讲PHP的代码进行加密?如果项目是商业级的最好是不要放到外部服务器或者别人的托管服务。肯定是放在公司内部网络 有自己的代码托管服务器。git只是一个版本管理工具,代码泄露关git什么事。用gitolite之类的控制好权限,不随便给人用不就行了。团队自己搭一个 gitlab 即...
一个项目,服务端用的是PHP,没有用任何框架,代码托管在BAE,所以安全性这块得自己做。因为代码托管在BAE,我们暂时不需要考虑服务器的安全性,所以我所指的安全性可能更多地是指代码安全性这一块但是之前没有很系统地了解过这一块要怎么做,只是零零散散地对一些常见的可能的攻击点做了处理:XSS、SQL注入等。但是,只靠自己东拼西凑感觉总是没底。我想知道有没有一套系统的安全性测试的流程或者标准来评估自己网站的安全性呢?或...
有A、B两台服务器 A、B两台服务器都对外开放提供浏览 A服务器对外提供有限制的操作,B服务器不对外提供任何操作 用户可以在A服务器上通过POST向B提交请求进行处理问题:B如何判断接收到的请求是一个正常的请求我想过这么几个情况 通过IP判断,可以伪造 来路判断,可以伪造 post一个字段带有加密验证,直接浏览器查看请求的字段就破解了 回复内容:有A、B两台服务器 A、B两台服务器都对外开放提供浏览 A服务器对外提供有限制的操作,...
公司的 mobile app 是外包给其他公司做的,所以现在他们需要我们提供 API 接口进行调试,由于没有 API 开发的经验,所以现在一个比较难把握的问题就是如何实现服务器端与移动 APP 端通信时的用户身份认证问题。 搜集了一些资料,大部分的建议是在服务器端生成一个 token 然后在通信报文的 headers 利用这个 token 来进行验证。 这里有两个问题,首先这样直接生成 token 进行认证的安全性。其次,生成的 token 应该怎么保存呢?存在...
php在编译安装的时候有这样一个选项--enable-maintainer-zts 英文解释是Enable thread safety - for code maintainers only!! 抽象理解线程安全为代码维护人员! 那么到底是啥意思呢? 并且在php5.3中添加线程模块pthreads 必须要PHP在编译的时候开启该选项回复内容:php在编译安装的时候有这样一个选项--enable-maintainer-zts 英文解释是Enable thread safety - for code maintainers only!! 抽象理解线程安全为代码维护人员! 那...
既然把管理员的密码存在数据库里有遭遇爆库的危险,那我把管理员的密码加密后当作一个常量直接写在 PHP 文件里,安全性会得到提升吗? 不考虑旁注提权之后查看这个 PHP 文件,因为如果他/她能够查看 PHP 文件里的代码,那么他/她肯定也能看到 config.php 里保存的数据库密码。 2014-06-15 0:42 补充: 这里所说的防止被爆库是指降低被爆出管理员密码的概率,不考虑数据库中存在的其他密码(或者是这个站点不存在其他密码,只有管理...
目前在看《MetaSploit渗透指南》一书,msf这个框架主要是用ruby来开发的(刚开始好像是perl,后来使用ruby重写了)。而自己之前没有接触过ruby,工作中使用PHP和Python居多。 如果想要在msf框架中开发自己的模块,好像只能用ruby吧(不知道Python可不可以,书中的扩展模块的例子ruby写的)。 不知道有没有必要学习下ruby呢?回复内容:目前在看《MetaSploit渗透指南》一书,msf这个框架主要是用ruby来开发的(刚开始好像是perl,后...
在设计一个 App 与服务端交互的 REST 风格的 API 时,一直不知道如何处理有关用户登录的各种问题,如: 判定用户是否已经登录 如何对每一次 api 请求进行验证 服务端与客户端通信时确保用户授权信息不被泄露。简而言之,如何设计用户登录?另:有设计过 REST API (最好是已上线的应用)的童鞋,急切地想向您求教 My Email :Fei2037%#gmail.com My QQ:Feiox#%qq.com 实在找不到了,只能在这里求老师 ~回复内容:在设计一个 Ap...
在PHP的有些方法的说明中,有的说是“二进制安全”。这是什么意思?回复内容:在PHP的有些方法的说明中,有的说是“二进制安全”。这是什么意思?就是指函数的参数包括二进制数据的时候,函数依然能正常操作。例如strlen,在输入数据里有\0的时候,并不会在此停止。所以可以说是二进制安全的。我也在 redis 数据库介绍上看到这样的说法.我认为的二进制安全应该是说: 只关心二进制化的字符串,不关心具体格式.只会严格的按照二进制的...
想实现的功能是这样: 客户端PHP页面,执行某个任务,比如新建站点,通过某种方式通知 后端的 nc 监听程序,然后执行相关脚本,不如创建ftp账号、新建目录等。但是,应该怎样才能够通过 php 发消息给 nc 呢? 求教!以下是php客户端:$fp = fsockopen ("udp://127.0.0.1",40030,$errno,$errstr,30); if(!$fp){echo "$errstr ($errno) "; }else{fwrite($fp,"Hello nc");echo "Success";fclose($fp); } 以下是 shell 服务端:#!/bin/...
如题,普通的web应用后端是php,如何设计好文件上传下载类的。 1. 安全: 恶意用户可能会上传攻击脚本 2. 可靠性: PHP开发的后端,一般的下载是走http,如何提升下载可靠性 3. 权限控制: 针对不同用户下载权限设计回复内容:如题,普通的web应用后端是php,如何设计好文件上传下载类的。 1. 安全: 恶意用户可能会上传攻击脚本 2. 可靠性: PHP开发的后端,一般的下载是走http,如何提升下载可靠性 3. 权限控制: 针对不同用户下...
之前讨论过这个问题:为什么很多第三方接口,都改成了基于http,直接传递json数据的方式来代替webservice? 各位同学基本认同基于http协议的json数据格式来做web服务。现在想问一下,对于安全性要求应该怎么做。 我现在要设计的一套东西,安全要求有两点。 1.传输方面 要求使用TLS对会话过程加密 2.传递的数据本身 要使用ws-security规范要求加密传输方面,我明白。但是在自身数据使用ws-security规范方面,有没有有经验的兄弟给解...
平时我发现,有很多网站都不提供gif图片的上传,之前在对网站进行安全检查的时候也发现了一些gif图片中暗藏代码,竟然还可以执行! 记得我用文本编辑器打开图片,在图片的最后,发现了php的一句话木马,我想请问,这类问题如何解决? 如果保证/防范图片(或文件)上传中可能存在的安全隐患?敬谢!回复内容:平时我发现,有很多网站都不提供gif图片的上传,之前在对网站进行安全检查的时候也发现了一些gif图片中暗藏代码,竟然还可...
客户端软件需要跟PHP进行通信,将用户机器码通过和PHP的通信上传到数据库里,怎么样的机制最安全?不会被人抓包到到通信方式从而向PHP发送虚假信息回复内容:客户端软件需要跟PHP进行通信,将用户机器码通过和PHP的通信上传到数据库里,怎么样的机制最安全?不会被人抓包到到通信方式从而向PHP发送虚假信息这是个好问题。许多PC软件的程序员在这个问题上真的是不够小心。人为污染域名解析进而伪造认证服务器的事情我做过,做的时候...
如果使用阿里云站库分离有什么好处?除了安全性的考虑,其他地方有什么好处回复内容:如果使用阿里云站库分离有什么好处?除了安全性的考虑,其他地方有什么好处说一个我遇到的场景吧:之前是用一个512MB的机器跑,装了lnmp环境,上线跑了半个月,每周会挂掉三四次,重启后就好了,排查后发现是因为MySQL占用太多内存。后来升级成1GB继续跑,这个问题明显得到了『缓解』,每周三四次变成每月三四次。并且不断的优化MySQL,写脚本 释...