我已经到处寻找永远的解决方案,这是我的问题: 我有一个文件调用function.PHP,它将接收POST数据并根据数据执行PHP,例如:if ($_POST["data"] == "delete") //Do something to delete something if ($_POST["data"] == "reset") //Do something here所以基本上我可以从同一个域中使用Ajax来根据我的数据运行文件. Ajax绝对不能在这里跨域.我的问题是在PHP中,我发现了一个函数调用cURL(),它可以将数据发布到我的PHP站点,我在Google上...
有没有办法安全地包含页面而不将它们全部放在一个数组中?if (preg_match(/^[a-z0-9]+/, $_GET[page])) {$page = $_GET[page].".php"; $tpl = $_GET[page].".html"; if (file_exists($page)) include($page); if (file_exists($tpl)) include($tpl);}我应该添加什么才能使它非常安全? 我这样做是因为我不喜欢必须包含必须包含在所有页面中的内容. “包含标题>内容>包括页脚”-way.我也不想使用任何模板引擎/框架. 谢谢.解决方法:您...
在银行网站上填写安全表格时,我一直想知道他们如何知道他们的应用程序是完全安全的.当然你知道你使用SSL,你的帐户“应该”是安全的,并且希望安全问题,帐户限制,超时等应该保证您的帐户安全.但测试这个的最佳方法是什么?什么决定了你的应用程序的“安全”程度?如果您的代码中存在某个错误,那么您拥有多少安全措施并不重要. 我最近创建了一个网站登录,该网站将在15分钟后自动将用户注销,在3次尝试失败后锁定其帐户,包含安全问题,并...
<?php$id = intval($_GET['id']);$sql = mysql_query("SELECT username FROM users WHERE id = $id");$row = mysql_fetch_assoc($sql);$user = htmlspecialchars($row['username']);?><h1>User:<?php echo $user ?></h1>您能否在上述代码中看到任何威胁?我必须在输出的所有内容上使用htmlspecialchars吗?我应该使用is_numeric或intval来检查get是否为数字? 我只是建立一个最小的网站.我只是想知道上面的代码是否容易受到sql注入...
我的页面上有这个代码:header("Location: $page"); $page作为GET变量传递给脚本,我需要任何安全性吗? (如果是的话) 我打算只使用addslashes(),但这会填充URL …解决方法:如果我让他们点击链接,我可以将你的用户转发到任何我喜欢的地方,这绝对是一个很大的安全漏洞(请登录www.yoursite.com?page=badsite.com).现在想想badsite.com看起来与您的网站完全一样的情况,除了它捕获用户的凭据. 最好在代码中定义$urls数组并仅将索引传递给...
我的PHP非常生疏.我有一个md5哈希,通过获取脚本传递,然后我抓住它像这样:$id = $_GET['id'];显然这里存在安全风险……我正在考虑检查字符串长度以确保其长度为32个字符,但这对我来说似乎不太健壮.我还能做些什么来使它更安全? 谢谢解决方法:您可以使用正则表达式进行验证,以确保它仅包含字母数字字符. 例如.像这样的东西(我的PHP也生锈了):if(preg_match("/^[A-Fa-f0-9]{32}$/", $id) > 0) {// All good }
我见过许多声称拥有银行级安全加密的网站.如果他们的网站是用PHP构建的,那么除了使用mysql_real_escape_string和128位ssl加密之外还能存在哪些其他形式的安全性?解决方法:当一家公司宣传“政府实力”或“银行等级”时,他们可能会谈论FIPS 140加密标准.大多数情况下,加密并不是保护现实世界系统的问题. 例如,这个USB Key非常脆弱,它使用AES256的“FIPS 140”卖点! 128位数字很大,AES128符合FIPS 140标准.有更多的位只是一个阴茎测...
我有一个关于安全的问题.我有一个Javascript变量:var toSearch = "something"我想将此变量发送到另一个php页面.我正在使用会话:<?php session_start(); ?>根据我的阅读,我需要使用AJAX GET / POST程序将此javascript客户端变量传递给PHP服务器端.我知道可以这样做: window.location.href = "myphpfile.php?name=" + javascriptVariable;然后$_GET [‘name’]变量.我读过这不安全吗?是吗?解决方法:它只是不安全,取决于你用...
我写了一个需要登录的PHP应用程序.此应用程序是私有的,因此没有新用户可以注册.首先,我使用会话来识别用户,但它会导致平板电脑出现问题,因为他们丢失了会话.我认为这是因为节能运营. 现在我更改了我的应用程序以生成随机安全令牌.因此身份验证如下: >登录>生成随机安全令牌并将其保存到磁盘>将浏览器重定向到http://myhost/site?id=[securitytoken]>在服务器端,我检查文件是否存在 – 如果是,则验证用户 现在一切都很完美我只是在...
在PHP中允许大文件上传时,是否存在任何安全性和/或性能影响?例如,这些是我目前设置的PHP ini设置.memory_limit = 950M upload_max_filesize = 950M post_max_size = 950M max_execution_time = 0这些设置可能出现什么问题?解决方法:通过更改这些设置不会更改安全注意事项.但是,对于性能,以下内容有效: 以执行方式为用户提供服务的艺术是为用户总和提供足够的资源.根据您的设置将其转换为示例将类似于: 上传950 MB的10个用户需要...
如果要在IIS上安装PHP,哪些PHP扩展将与PHP默认安装的那些一起安装好?此外,通常首选安全扩展/配置? 我认为快速CGI,CURL和GD库是必需的.还有其他建议吗? 我正在为朋友安装它,他让我安装他可能在他的应用程序中使用的任何扩展.他计划安装内容管理系统等应用程序.解决方法:这是一个主要且良好的工作共享Web主机的phpinfo()转储.几乎任何类型的CMS都可以正常工作,并具有良好的数据库和其他库支持.寻找扩展: 我们去…………… PHP版本...
我有一个名为gallery.php的php文件,它是用户特定图像库的页面.为了安全起见,用户图像存储在Web根目录之外. 要为每个用户检索适当的文件,我使用getimage.php文件,该文件从其位置提供图像.总而言之,目录结构如下所示: > UserImages > User1 > user1的图像列表 >用户2 > user2的图像列表 > public_html > gallery.php> getimage.php getimage.php编写如下:$imgString = realpath('/UserImages/' . $_SESSION['username'] . '/' . $_...
在研究了保存存储数据主题的几个小时后,我对现在最好的方法有点困惑. 我有一个数据库用于我的(SSL)网站,我是唯一一个可以访问它的人(黑客不计算在内).登录数据存储在文档根目录之外的配置文件中.在数据库中,我有来自客户的姓名和地址等内容,我现在担心我需要实施加密专家提出的所有安全措施,如本答复(How do you Encrypt and Decrypt a PHP String?)或此处(Storing sensitive data securely in a database)所述. 既然我的PDO / SQL...
下午好, 我对CodeIgniter的安全性有一些疑问,首先是: 我有一个控制器:news.php,其中有一个名为view的方法 例:class News extends CI_Controller{public function view( $id ){$this->load->model('news_model');$this->news_model->get_by_id( $id );// ...} }这种工作形式安全吗?没有URL注入SQL的风险?考虑到这个页面被访问,所以mywebpage / news / number_id.过滤intval()或不必要的过程会很有趣吗? 我的第二个问题是: 默...
我知道使用PDO几乎不可能进行SQL注入.但是,我现在没有时间在我们的网站上更改所有与数据库相关的代码. (特别是由于我是PDO的新手,因此涉及一些学习曲线).所以我想知道什么mysql / php函数将提供与PDO相同的安全性. 这两点够了吗? >确保所有$_GET和$_POST数据都符合预期的类型(例如产品ID仅应为数字,因此我可以使用is_numeric).>使用mysql_real_escape_string. 还是我应该做些其他事情?网站的方式是,根据查询字符串中的id = x,事情...