我在我的电子商务应用程序上使用标准的PHP paypal表单进行付款. 我注意到只有firebug的人可以在通过“PAY NOW”按钮发送付款请求之前更改paypal表单数据. 所以我想知道,付款的形式是否可以由新手“编辑”是“标准”:/? 我们可以做些什么来防止这种情况?解决方法:这不是一个巨大的安全风险,因为你应该检查实际支付的是什么!任何人都可以将数据发布到任它与你的表格甚至Firebug没什么关系. 您可以将该按钮信息存储在PayPal的服务...
在研究了使用“记住我”功能进行安全登录的方法之后,我遇到了许多关于如何使其安全的相互矛盾的观点.我希望创建的登录系统不需要高度安全,但我想选择一个安全简便的方法,我有两个问题. >应该存储在会话变量中以检查用户是否已登录,这只是用户名(或ID).如果它只是用户名,那么在用户发现他们的帐户遭到入侵并希望更改密码以阻止恶意用户搞乱其帐户的情况下会发生什么?如果恶意用户有会话,那么即使密码被更改,他们仍然可以继续恶意,直...
如果我们不能使用PDO或mysqli(出于任何原因),这种方法对于INSERT和SELECT是否安全?<?phpif (!empty($_POST[id]) && !empty($_POST[name])) {require_once ( 'config.php' );// SAFE INTVAL ID$id = intval($_POST[id]);$connect = mysql_connect("$server", "$user", "$password")OR die(mysql_error());mysql_select_db("$database", $connect);// ESCAPING NAME$name = mysql_real_escape_string($_POST[name]);$query = "INSER...
我很好奇PHP嵌入PHP代码的HTML网页(服务器上将存在“webpage.php”的网页)或可能被HTML页面引用的PHP脚本(即一个PHP脚本实际上不是服务器上存在的“something.php”网页的一部分,并被“webpage.html”引用.说到这一点,让我们说如果我的PHP脚本的源代码被任何人都知道,那将是一个非常大的问题.我知道当你在浏览器中查看PHP页面的源代码时,PHP脚本没有显示,但是如果PHP服务器失败并且HTML仍然加载(这甚至可能),用户是否能够看到PHP脚...
我使用这个类(取自博客教程)来生成唯一键来验证表单:class formKey {//Here we store the generated form keyprivate $formKey;//Here we store the old form keyprivate $old_formKey;//The constructor stores the form key (if one excists) in our class variablefunction __construct() {//We need the previous key so we store itif(isset($_SESSION['form_key'])) {$this->old_formKey = $_SESSION['form_key'];}}//Funct...
我在cakephp应用程序中工作,我使用Security :: cipher来加密一些数据.它工作得很好,但我已经将文件和数据库移动到另一台服务器,现在加密的结果是不同的.我试过一些简单的线条:$security = new Security; $code = $security->cipher('1234', Configure::read('Security.cipherSeed'));当我打印$code时,两个服务器的值都不同.我在两个core.php文件中配置了相同的Security.cipherSeed.Security :: cipher函数是否使用某些服务器值进行...
我听说处理上传图像的最佳方法是使用GD库“重新处理”它们并保存处理过的图像.见:PHP image upload security check list 我的问题是如何在GD中“重新处理”?这究竟意味着什么?我不太了解GD库,我担心我会搞砸它… 所以,如果有人之前做过这个,你能给我一个例子吗? (我知道,另一个选择是使用ImageMagick.对于ImageMagick,我在这里找到了答案:Remove EXIF data from JPG using PHP,但我现在不能使用ImgMagick.顺便说一下..删除EXI...
PHP的json_decode()是否安全而不是eval()? eval()函数可以运行代码,但json_decode()也可以运行吗?解决方法:由于JSON只能表示数据,json_decode不会执行php代码. 但是,就像任何其他函数一样,json_decode的实现可能是错误的并允许任意(二进制,而不是(仅)php)代码执行,例如使用buffer overflow.由于相对简单和广泛使用的代码,这不太可能,并且在php程序中没有什么可以或应该做的来缓解这一点.
我想确认我的想法是正确的,因为这是关于安全问题. 我们有基于Web的应用程序,它使用db2数据库. db2在db2inst1用户下运行. 现在,我们希望Web应用程序的用户能够将db2备份映像还原到我们称之为playschool的数据库中.使用这个幼儿园他们“玩弄”并且不会对生产数据库造成伤害.为此,需要通过PHP函数exec()执行PHP脚本db2restore. 是否足够安全,以确保没有人可以滥用并运行db2命令作为PHP用户,如果: >我们将此行添加到/ etc / sudoersph...
假设我在PHP Web应用程序中有以下代码.$encrypt ? $password = generatePassword($passwordstrength): $password=""; $estring = "7z a -p$password -mx0 packFoo.aes.7z mydir/foo"; if($encrypt) {exec($estring); } mailuser($password);//uses standard PHP mail function密码由使用PHP rand()的函数随机生成. 我没有在/ var / logs中找到密码而在.bash_history中找不到密码. 我需要知道,如果服务器受到威胁,是否可以从服务器恢...
这个问题对我来说很重要,因为我正在建立一个部落环境,并希望使用系统帐户.做一些搜索我发现主要有4种方法,这些方法似乎都有一些缺点.现在我想知道,哪一个最安全,或者我错过了一些替代方案. >方法1:使用PAM(PHP) Horde提供了一个使用PAM库的auth插件.工作正常,但Web服务器需要对/ etc / shadow的读访问权限.我发现一些声明说这和发布密码文件一样安全.>方法2:使用/ bin / su(PHP) 此外,Horde提供了一个模块,使用/ bin / su进行身份...
几年前,我开始使用以下代码,包括在我的页面顶部.我读到这很好并且使用它.但我想知道,它有用吗?$page = "index.php"; $cracktrack = $_SERVER['QUERY_STRING']; $wormprotector = array('chr(', 'chr=', 'chr%20', '%20chr', 'wget%20', '%20wget', 'wget(','cmd=', '%20cmd', 'cmd%20', 'rush=', '%20rush', 'rush%20','union%20', '%20union', 'union(', 'union=', 'echr(', '%20echr', 'echr%20', 'echr=','esystem(', 'esystem...
php Sessions有多安全?我打算使用本机PHP会话来验证用户.用户可以修改会话数据,例如$_POST和$_GET数据吗?解决方法:当您作为开发人员让用户通过您编写的代码将其放入会话时,数据才会进入会话.因此,会话与您允许的数据一样安全,以及您如何信任和使用该数据.此外,会话基于客户端用于标识会话用户的sessionID.如果有人劫持了sessionID,那么他们可以模仿他们偷走了会话ID的用户.这可能发生在非SSH通信中.所以不要相信会话ID用于识别用...
问题1:我可以使用$userid = mysql_real_escape_string($_ GET [‘user_id’]); 或者我需要使用下面的代码更好?function mysql_prep( $value ){$magic_quotes_active = get_magic_quotes_gpc();$new_enough_php = function_exists( "mysql_real_escape_string" ); //example. php >= v4.3.0if( $new_enough_php ) { //php v4.30 or higher, undo any magic quote effects so mysql_real_escape_string can do the workif( $magic_...
我目前正在开发一个PHP项目,我想知道如何使我的系统尽可能安全.我目前正在使用password_hash来哈希我的密码,然后将它们存储在我的数据库中.我想知道的是:将新的盐渍哈希重新保存并重新保存到数据库会增加安全性,还是仅仅是一种错觉?解决方法:我认为它不会增加安全性,不会.您有两种风险情景: >饼干闯入服务器并在那里停留一段时间未被发现.在这种情况下,密码可以在用户登录时以编程方式捕获.这比强制使用强哈希算法要少得多.>破解...