给客户部署私有云,怎么保证 源代码安全?回复内容:给客户部署私有云,怎么保证 源代码安全?Zend Guard 以及其它代码加密工具……
一个phpcli小程序,用while(1){.... }方式处理队列任务(主要是写入mysql一些日志), 求教如果控制台kill掉这个进程怎么安全中断, 接受kill (或者 前台的 ctrl+z) 信号 处理完一个任务, 输出 byebye 再退出谢谢回复内容:一个phpcli小程序,用while(1){.... }方式处理队列任务(主要是写入mysql一些日志), 求教如果控制台kill掉这个进程怎么安全中断, 接受kill (或者 前台的 ctrl+z) 信号 处理完一个任务, 输出 byebye 再退出谢谢若需要...
同一个域内,有两个系统,从一个系统向另一个系统发送ajax请求更改第二个系统的数据库的一个字段(假如现在只发送user_id向第二个系统),怎么保证ajax的安全性,我主要怕的是大家都知道发送user_id后的这个ajax就不安全了,有那些方法可以做到尽量安全?这个问题也可以延伸到接口间的安全性。回复内容:同一个域内,有两个系统,从一个系统向另一个系统发送ajax请求更改第二个系统的数据库的一个字段(假如现在只发送user_id向第二个...
最近网站被挂马,最后通过小马的文件创建时间找分析访问日志,找到些不正常的访问,最后解决了被挂马的问题,但问题是不知道挂马者是通过哪个途径上传后门,用的是开源系统,有洞也是难以避免的。所以问题来了,如何防范这种通过漏洞或者其它方式在web中留下后门,打造高安全性的生产环境?回复内容:最近网站被挂马,最后通过小马的文件创建时间找分析访问日志,找到些不正常的访问,最后解决了被挂马的问题,但问题是不知道挂马者...
嗨,大家好。今天我开始要接手一个新的安全性较高的项目了,目前在进行到设计表单的阶段上遇到了一些以前不曾细想的安全问题,那就是如何设计表单名。问题如下:1、 如果表单设计如下,name属性为“user_name”,那么这样不是给别人猜到了数据库的设计了吗?html 2、 设计如下表单,这种表单名在后端比较容易使用处理,直接$_POST[user]即可得到所有的相关值。那么相对于 1 中的表单名,下面的表单名会不会有什么隐患呢?html 3、 ...
漏洞 PHP libmagic/apprentice.c apprentice_load函数拒绝服务漏洞(CVE-2014-9426) 我看了半天php5.5.24已经是5.5里最新的版本了,整体升级好像不行,查漏软件给了几个链接,官方修改的.h文件,从没单独编译过php源码,不知道如何操作 http://git.php.com/?p=php-src.git;a=commit;h=ef89ab2f99fbd9b7b714556d4... http://git.php.com/?p=php-src.git;a=commit;h=a72cd07f2983dc43a6bb35209... 回复内容:漏洞 PHP libmagic/appren...
类似身份证这些很私密,而且重要的东西,如果需要用户上传身份证图片,怎么存储和展示安全性高一点? 图片存到服务器,向用户展示的时候用URL的形式? 就比如淘宝等的卖家验证的时候,需要传身份证图片,整个流程应该是怎么样的?回复内容:类似身份证这些很私密,而且重要的东西,如果需要用户上传身份证图片,怎么存储和展示安全性高一点? 图片存到服务器,向用户展示的时候用URL的形式? 就比如淘宝等的卖家验证的时候,需要传...
使用php做 P2P金融平台 有没有什么好的设计方案? 如何保障资金安全?请不要想到别的地方,我没那么闲,就是不太深入关于安全的内容想请教,没别的意思,还能让人问问题吗? 这里又不是知乎回复内容:使用php做 P2P金融平台 有没有什么好的设计方案? 如何保障资金安全?请不要想到别的地方,我没那么闲,就是不太深入关于安全的内容想请教,没别的意思,还能让人问问题吗? 这里又不是知乎我就是干这个的,目前网站不算大20万用户...
本人新手,在《PHP安全编码》中提到“不要直接使用$_GET”,同时又提到“可以尝试在php.ini中开启magic_quotes_gpc,这样对于所有由用户GET、POST、COOKIE中传入的特殊字符都会转义”,我很纠结,是否开启magic_quotes_gpc就可以直接使用$_GET?如下面例子中的代码本人感觉很不安全,因为没有做验证,但又不知道如何改进,希望大神能帮忙,谢谢。回复内容:本人新手,在《PHP安全编码》中提到“不要直接使用$_GET”,同时又提到“可...
如何限制接口调用者对接口的调用频率?问题:对某个对外暴露的接口加一个限制:调用者一分钟之内调用次数不能超过100次,如果超过100次就直接返回给调用者失败的信息。 给调用者一个SECRET,每次调用者需要调用接口的时候,都需要把这个SECRET带过来(为了安全需要对key进行一系列加密的措施) 一个SECRET就代表一个调用者,把相应的SECRET的调用次数放入缓存中(必须确保次数增加的原子性),并且把SECRET当做缓存的SECRET(这里如果区分方法...
我听过一些签名和对称加密,但又不知道理解对么,你们一般服务器和APP之间怎么做的签名和加密,还有到底怎样才叫签名啊?先谢大神了。回复内容:我听过一些签名和对称加密,但又不知道理解对么,你们一般服务器和APP之间怎么做的签名和加密,还有到底怎样才叫签名啊?先谢大神了。access token是一种方式,早期简单点的有appid,appkey方式,复杂一点的可以使用RSA加密楼主的问题应该是怎么进行加密通讯防止API外部调用吧,给你一个...
能否详细说明。回复内容:能否详细说明。只需要明确一点,线程安全是为了适配多线程. 比如你要使用pthreads这个PHP多线程PECL扩展,那就要求PHP进行线程安全检查. 如果PHP作为模块嵌入到多线程程序运行,比如嵌入到多线程的Linux Event MPM或者WINNT MPM的Apache(mod_php),或者IIS(ISAPI模块,5.3.1开始已经废弃),也需要线程安全版本的PHP. 如果是嵌入到多进程的Linux Prefork MPM(Apache 2.2系列默认MPM)的Apache,或者独立以PHP-FPM(多...
后端程序提供API给前端APP同学使用,比如http协议 如果别人知道后端API的url后就可以随便调用了。那么各位如何做这个安全的策略呢,请尽可能详细,非常感谢。回复内容:后端程序提供API给前端APP同学使用,比如http协议 如果别人知道后端API的url后就可以随便调用了。那么各位如何做这个安全的策略呢,请尽可能详细,非常感谢。一般在用户登录或开启APP时,服务端分发一个token给它,存储在本地,每次app和api交互时,都带上这个to...
为什么我抓包看不到他加好友的接口呢?有大神做过吗?回复内容:为什么我抓包看不到他加好友的接口呢?有大神做过吗?
求推荐一款安全实用的富文本编辑器,要大家用的比较多的,谢了。回复内容:求推荐一款安全实用的富文本编辑器,要大家用的比较多的,谢了。https://github.com/fex-team/ueditorKindeditor 简单实用 文档丰富http://ueditor.baidu.com 同楼上的楼上,推荐ueditor,配置方便、扩展方便~~ckeditorhttps://github.com/mycolorway/simditor 这是国内开源的一个富文本编辑器,https://tower.im/做的,感觉很棒,用户体验很好http://wang...