正常情况下的步骤: 1、进入注册页 2、验证邮箱正确性 3、生成邮箱账号激活码code(自加密) 4、发送至注册邮箱的激活邮件,包含激活URL 5、点击激活URL,判断生效 6、激活成功,跳转至登陆页面 问题: 1、以上步骤是否完善? 2、激活码code一般包含哪些内容? 3、如果注册邮箱不是注册人本身拥有的,那收到激活邮件的邮箱拥有者点击后,是否也可以实现激活?回复内容:正常情况下的步骤: 1、进入注册页 2、验证邮箱正确性 3、生...
sql注入总是无孔不入(ps:' or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?回复内容:sql注入总是无孔不入(ps: or 1=1#),该如何安全的过滤好呢(我用的php和mysql_connect)?可以使用 mysql_real_escape_string() 对字符串进行转义,然后再放进 SQL。 $name = mysql_real_escape_string($_POST['name']); mysql_query('SELECT * FROM `users` WHERE `name` = "'.$name.'"');//改进版。防 SQL 注入,同时屏蔽...
最近要做一系列的手机客户端接口,包括登陆、留言等功能,怎样做才能比较安全呢?比如防刷新。回复内容:最近要做一系列的手机客户端接口,包括登陆、留言等功能,怎样做才能比较安全呢?比如防刷新。唔,就防刷新我说下我怎么做的: 访问的时候记录用户IP,写到Memcache,ip为key,值为1,有效期一个小时; 每访问一次就给这个IP+1,加到10W次就不执行,只能等到记录过期,然后就可以继续开始咯
问题: 1、在获取第三方账号access token以及openid之后应该如何处理? 2、用户再次登录时自动刷新? 3、第三方登陆的注意事项和细节?回复内容:问题: 1、在获取第三方账号access token以及openid之后应该如何处理? 2、用户再次登录时自动刷新? 3、第三方登陆的注意事项和细节? 把 openid 入库,因为每次登录后的 openid 都一样 一次请求之后如果你还想要用户的其它信息,可以将 access_token 存起来,过期时间是它给你的 你可...
比如我的 test.php 文件在 G:\phpProject 下面,php.ini 设置成 open_basedir = .;G:/phpProject/打开浏览器访问怎么一片空白,也没报错,该怎样设置重要补充,我用的是TP框架回复内容:比如我的 test.php 文件在 G:\phpProject 下面,php.ini 设置成 open_basedir = .;G:/phpProject/打开浏览器访问怎么一片空白,也没报错,该怎样设置重要补充,我用的是TP框架
用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?回复内容:用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?设置 mimetype有风险,判断文件头是不完全的。你可以参看 http://zone.wooyun.org/content/5429你需要在服务端禁止执行这些代码。简单的说,就是不管他的扩展名是什么,反正这个目录是静态的,不要丢改cgi之类的东西。如果你是虚拟主机环境,你可能面临...
就假如Nginx + PHP-FPM的组合好了,该如何设置PHP程序的用户组及用户,保证程序执行的安全性?回复内容:就假如Nginx + PHP-FPM的组合好了,该如何设置PHP程序的用户组及用户,保证程序执行的安全性?单独设置个用户及用户组呗。php-fpm 和 Web 服务器的用户没什么关系的,只要能相互通信就可以了。不同的服务尽量使用独立的用户和用户组来运行,这样万一哪个服务出了问题对方也只能得到那个服务所使用的用户的权限而不太可能会牵连...
新浪微博站内应用:点击进入 可以看到站内应用是用 iframe 加载的。iframe 会不会对用户造成安全隐患呢?是如何保证信息的安全呢?这个问题已被关闭,原因: 回复内容:新浪微博站内应用:点击进入 可以看到站内应用是用 iframe 加载的。iframe 会不会对用户造成安全隐患呢?是如何保证信息的安全呢?
对于php中的处理数据的流程?数据存mysql前,需要做哪些处理?安全一些呢,从mysql读出数据后,还要做哪些处理? 请指点。发表一下你的看法。回复内容:对于php中的处理数据的流程?数据存mysql前,需要做哪些处理?安全一些呢,从mysql读出数据后,还要做哪些处理? 请指点。发表一下你的看法。 所有SQL都要做防注入处理 所有输出都要防XSS 以上做法包括不限于使用PHP。 在PHP中防SQL注入的方法推荐使用 Pdo prepare 语法并设置:...
在用PHP做验证登录时遇到了一些问题。我的验证方法是: 规定一个私钥key,加密算法是把user_id和key连接起来后求md5 把user_id和加密后的密文存到cookies中 验证时从cookies取出user_id和密文,对user_id再进行一次加密,比较两个密文想问一下这样做能否确保安全性?md5是否可靠?还有私钥有没有必要设置成与user_id相关的随机字串?另外,一般网站在登录后都会在每个页面(通常是右上角)显示用户昵称或者用户名,甚至用户的头像,...
用PHP+Mysql开发的站点,在安全问题上都应该注意哪些呢?望详细~ 感谢回复内容:用PHP+Mysql开发的站点,在安全问题上都应该注意哪些呢?望详细~ 感谢1.对用户输入进行安全过滤 2.关闭PHP危险函数 3.关闭PHP错误提示 4.关闭PHP超全局变量 5.注意XSS攻击 6.避免SQL注入 7.上传验证 ...需要关注的问题主要有以下几种 1.SQL注入 2.XSS 防范上面两种攻击的措施是过滤输入变量,转义输出的变量,建议使用白名单机制 3.文件包含 使用动态...
身边有人这样说这个问题已被关闭,原因: 回复内容:身边有人这样说任何语言,程序都会有漏洞因为他们写不好PHP不能直说什么语言不安全,还要看安全处理做的如何。杜蕾斯还说自己只有99%的成功率呢
比如,我有一个网站,网址是 aaa.com 在这个网站上购买了产品,生成了一个订单。 但是支付的时候,必须跳转到我原有的支付中心(域名 bbb.com)上去支付!! 这样,怎么通讯还安全点? 我想到的就是 URL 之间的跳转,然后参数加密,或者用 auth? 还是 service ?回复内容:比如,我有一个网站,网址是 aaa.com 在这个网站上购买了产品,生成了一个订单。 但是支付的时候,必须跳转到我原有的支付中心(域名 bbb.com)上去支付!! 这...
我浏览的文档链接我使用php来实现,有个url安全的base64计算方法是需要自己实现,实现代码如下:function urlsafe_base64_encode( $str ){return strtr(base64_encode($str), '+/', '-_'); } 我使用putPolicy的值计算得出的结果跟上面的结果一样, 但是计算sign得出来的是:YzEwZTI4N2YyYjFlN2Y1NDdiMjBhOWViY2UyYWFkYTI2YWIyMGVmMg== 跟文档上面的wQ4ofysef1R7IKnrziqtomqyDvI=有所不同,不知道是哪里有问题?回复内容:我浏览的文...
身边有人这样说回复内容:身边有人这样说1,DedeCMS本身的架构有问题.大量使用全局变量,使用了怪异的变量的变量$$,MySQL执行SQL时是自已拼装,即使用了mysql_escape_string也无法掩盖自已的逻辑错误.而不是使用PDO进行传参执行. 2,广泛流传,自然就被很多人拿去研究挖洞了. 3,官网"抵制日货". 4,循环1,2,3织梦恶名昭彰,这个确实可以无理由随便质疑的,不同于php。织梦本身的漏洞,和官方对修补漏洞的懒惰,在站长和主机商圈子里有广泛...