security
рекомендуется генерировать случайный токен для забытого пароля
Я хочу сгенерировать идентификатор для забытого пароля. Я читал, что могу сделать это, используя метку времени с помощь ... ны?
Я знаю, что здесь задают много вопросов, но я все больше запутываюсь после прочтения разных мнение разных людей.
Как хэшировать длинные пароли (>72 символов) с помощью blowfish
На прошлой неделе я прочитал много статей о хешировании паролей, и Blowfish, похоже, является (одним из) лучших алгорит ... лько 64 символа
Редактировать 1: Этот вопрос касается только PHP-интеграции blowfish/bcrypt. Спасибо за комментарии!
Каковы наилучшие методы предотвращения xss-атак на PHP-сайте
Я настроил PHP так, чтобы магические кавычки были включены, а глобальные регистры отключены.
Я делаю все возможное, ч ... ак...
<script
Что еще я должен делать и как я могу убедиться, что то, что я пытаюсь сделать, всегда выполняется.
Как включить защиту от DDoS-атак?
DDoS (Распределенные атаки типа "Отказ в обслуживании") обычно блокируются на уровне сервера, верно?
Есть ли способ за ... или, по крайней мере, уменьшить его?
Если нет, то какой самый быстрый и распространенный способ остановить DDoS-атаки?
Список проверок безопасности загрузки изображений PHP
Я программирую скрипт для загрузки изображений в свое приложение. Достаточно ли следующих шагов по обеспечению безопасн ... ad_id\" src=\"".$uploadfile."\"><br />";
} else {
echo "error";
}
Любые новые советы приветствуются:)
Массивы в файлах cookie PHP
Как правильно хранить массив в файле cookie? в PHP
Пример кода:
$number_ticket=2;
$info[7][5]=1;
$info[8][5]=1;
Примеры SQL-инъекций с помощью addslashes()?
В PHP я знаю, что mysql_real_escape намного безопаснее, чем использование addslashes.
Однако я не смог найти пример ситуации, когда addslashes позволил бы выполнить SQL-инъекцию.
Кто-нибудь может привести несколько примеров?
Идеальная функция очистки/безопасности
У меня есть много пользовательских вводов от $_GET и $_POST... В данный момент я всегда пишу mysql_real_escape_string($ ... ars($input, ENT_IGNORE, 'utf-8');
$input = strip_tags($input);
$input = stripslashes($input);
return $input;
}
Как правильно добавить токен CSRF с помощью PHP
Я пытаюсь добавить некоторую безопасность в формы на моем веб-сайте. Одна из форм использует AJAX, а другая представляе ... pe="hidden" name="token" value="<?php echo $token; ?>" />
//...
</form>
Есть какие-нибудь предложения?
Ссылка: Что такое идеальный пример кода с использованием расширения MySQL? [закрыто]
Это делается для создания учебного ресурса сообщества . Цель состоит в том, чтобы иметь примеры хорошего кода, кото ... ysql_* совершенно безопасно при правильном использовании. Так что, пожалуйста, никаких ответов "использовать PDO" здесь.
Использование вектора инициализации в шифровании openssl
Я взглянул на этот вопрос и хотел сделать это для себя. Когда я запустил этот код (взятый прямо из этого ответа):
$ ... первое место во многих результатах поиска, я подумал, что этот вопрос может быть полезен всем, у кого была эта проблема.
Что значит избежать строки?
Я читал Нужно ли экранировать $_SESSION['имя пользователя'] перед входом в SQL-запрос? и там было сказано: "Вам нужно ... ь escape-последовательности из строки в php Я мог бы продолжать но я уверен, что вы понимаете, в чем дело. Это не лень.
Генерация криптографически защищенных токенов
Для создания 32-символьного токена для доступа к нашему API мы в настоящее время используем:
$token = md5(uniqid(mt_ra ... token = md5(openssl_random_pseudo_bytes(32));
Также, какая длина имеет смысл, что я следует ли переходить к функции?
Как защитить phpMyAdmin
Я заметил, что на мой сайт поступают странные запросы, пытающиеся найти phpmyadmin, например
/phpmyadmin/
/pma/
И т ... нить на что-то другое, если кто-то хочет избежать ненужной деятельности, например:
Alias /secret /usr/share/phpmyadmin
Для чего нужен md5()?
Я читал этот учебник для простой системы входа в PHP.
В конце он рекомендует вам зашифровать свой пароль с помощью m ... ся, но это это очень длинный вопрос, поэтому, пожалуйста, запросите любые необходимые разъяснения!
Заранее спасибо!!
Предотвращение захвата сеанса
Как запретить нескольким клиентам использовать один и тот же идентификатор сеанса? Я спрашиваю об этом, потому что хочу ... няя несколько запросов одного и того же идентификатора безопасности, просто смехотворна и разрушила бы всю цель сеансов.
Является ли время() хорошей солью?
Я смотрю на какой-то код, который я не написал сам. Код пытается хэшировать пароль с помощью SHA512 и использует только ... Случайная строка может быть сгенерирована в результате 32-кратного цикла по набору символов алфавита. Это звучит хорошо?
Встраивание видео YouTube "Отказано в отображении документа, поскольку отображение запрещено параметрами X-кадра"
Я пытаюсь вставить видео с YouTube на свою страницу, как только пользователь даст ссылку на видео.
<iframe width=\' ... ия видео на свою страницу.
Проблема видится в
Firefox 11
Хром 18.0
Т.Е.8
Кто-нибудь сталкивался с этой проблемой?
Насколько безопасны переменные сеанса PHP?
У меня есть скрипт входа в систему, который проверяет имя пользователя/пароль на соответствие данным в таблице "пользов ... ожно просто запросить переменную сеанса, чтобы узнать уровень авторизации вошедшего в систему пользователя.
Спасибо.
Какие проблемы с безопасностью могут возникнуть в результате предоставления phpinfo() конечным пользователям?
Если конечному пользователю показан дамп phpinfo(), что самое худшее, что злоумышленник может сделать с этой информацие ... ваш phpinfo() был публично показан после его удаления, где вы должны следить/фокусироваться на вредоносных эксплойтах?