security
Почему WordPress все еще использует addslashes(), регистровые глобалы() и магические кавычки?
Чтобы получить больше опыта в Wordpress, я углубился в его кодовую базу, чтобы изучить его внутреннюю работу и рабочий ... иях, насколько они могут быть важны в такой среде, как wordpress (или вообще)? Честно говоря, я в полном замешательстве.
Уязвимы ли теги полосы() для атак сценариев?
Существует ли известная XSS или другая атака, которая проходит мимо
$content = "some HTML code";
$content = strip_tag ... нкретной проблеме. Это теоретический вопрос, который возник здесь.
Ссылка: strip_tags() реализация в исходном коде PHP
В контексте PHP/Apache/Linux, почему именно chmod 777 опасен?
Вдохновленный обсуждением в этот вопрос, возможно, глупый вопрос.
Нас всех учили, что оставлять каталоги или файлы н ... ктом, что другие пользователи на той же машине могут получить доступ к файлам, которые доступны для записи во всем мире?
Как очистить пользовательский ввод в PHP перед отправкой?
У меня есть простой скрипт почтовой программы PHP, который принимает значения из формы, отправленной по почте, и отправ ... $subject, $body, $headers);
header("Location: http://example.com/thanks");
?>
Как я могу очистить входные данные?
Как я могу бесплатно проверить безопасность веб-сайта?
Я слышал, что есть несколько бесплатных приложений, которые проверят уязвимость веб-сайта PHP, но я не знаю, что исполь ... афическим интерфейсом) для Windows, которая проанализирует мой сайт и предоставит мне отчет.
Кто-нибудь знает решение?
Почему полезно сохранять сеансы в базе данных?
Я видел, что у codeigniter есть возможность сохранять значения сеанса в базе данных.
В нем говорится, что сохранение се ... уменьшить использование памяти веб-серверов (ОЗУ).
Кто-нибудь может объяснить, в каком смысле это повышает безопасность.
Как получить хорошую соль - Достаточно ли безопасна моя функция?
Вот функция, которую я использую для генерации случайных солей:
function generateRandomString($nbLetters){
$randS ... ли это? Должен ли я использовать большее подмножество символов, и если да, то есть ли простой способ сделать это в PHP?
насколько безопасны подготовленные заявления PDO
Начал использовать подготовленные PDO заявления не так давно, и, как я понимаю, он выполняет все функции по спасению/бе ... ;
Действительно ли это безопасно? Должен ли я делать что-нибудь еще? что еще я должен принять во внимание?
Спасибо.
Использование PHP/Apache для ограничения доступа к статическим файлам (html, css, img и т. Д.)
Допустим, у вас есть много файлов html, css, js, img и т. Д. В каталоге на вашем сервере. Обычно любой пользователь в И ... почему? В качестве альтернативы, можете ли вы придумать совершенно другое решение, которое было бы лучше любого из них?
лучший подход, чем хранение пароля mysql в виде обычного текста в файле конфигурации?
Меня всегда беспокоило, что многие PHP-программы требуют, чтобы пользователь сохранял пароль mysql в виде простого текс ... зопасности, инъекции и т.Д.)
Но, конечно, ни один из них не решает исходную проблему.
Спасибо за любые другие идеи!
md5(uniqid) имеет смысл для случайных уникальных токенов?
Я хочу создать генератор токенов, который генерирует токены, которые не могут быть угаданы пользователем и которые по-п ... этот токен в столбце базы данных с уникальным индексом, поэтому я буду обнаруживать столбцы. Может представлять интерес/
Можно просмотреть PHP-код веб-сайта?
Возможно ли каким-либо образом просматривать файлы/коды php других веб-сайтов?
Или, перефразируя вопрос, может ли кто ... у?
Если да, то как я могу наилучшим образом предотвратить это?
Ps: Серверная ОС Ubuntu 9.10 и версия PHP 5+ (Apache2)
Является ли фильтр var хорошим способом?
Подходит ли filter_var для фильтрации данных? Какие плохие данные он будет фильтровать? Я использую mysql_real_escape_string, но мне интересно, поможет ли добавление filter_var?
Безопасная генерация случайных чисел в PHP
Вариант использования: кнопка "Я забыл свой пароль". Мы не можем найти исходный пароль пользователя, потому что он хран ... ого усложнить жизнь противнику, который получит копию базы данных).
Я что-то упускаю или есть более известные решения?
PHP MySQLI Предотвращает внедрение SQL [дубликат]
На этот вопрос уже есть ответ здесь:
Как я могу предотвратить внедрение SQL в PHP?
... зопасность вы бы порекомендовали мне внедрить, прежде чем я запущу сайт в эксплуатацию, заранее спасибо за любую помощь!
Должны ли учетные записи быть страницей https
Несколько экспертов по безопасности в прошлом говорили, что страница входа должна быть на ssl https. Ну и что, если мой ... видите награды пока нет. Но я не буду выбирать ответ, пока не назначу награду через 2 дня. Извините за любую путаницу.
Насколько безопасен PHP?
Я немного новичок в PHP-кодировании, и я знаю, что злоумышленники могут взломать веб-сайт, если вы не очистили свой PHP ... олняйте такие команды, как "включить (header.php )"также нуждаются в какой-то безопасности или они изначально безопасны?
Хеширование отпечатка пальца сеанса действительно необходимо?
Пожалуйста, внимательно прочитайте это перед голосованием...
Итак, я видел множество классов управления сеансами, кото ... ы увидеть содержимое файла сеанса, разве вы уже не отключены в этот момент?
Любая информация будет очень признательна.
Как я могу проверить безопасность сайта PHP на наличие наиболее распространенных недостатков безопасности?
Мне нужно убедиться, что PHP-сайты, которые я администрирую, не имеют каких-либо распространенных недостатков PHP, таки ... опрос в том, есть ли для этого хорошее автоматизированное программное обеспечение или мне нужно его закодировать я сам?
Почему использование подготовленного оператора mysql более безопасно, чем использование обычных функций escape?
В другом вопросе есть комментарий, в котором говорится следующее:
"Когда дело доходит до запросов к базе данных,
... al_escape_string".
Источник
Итак, я хочу спросить: почему подготовленные параметризованные запросы более безопасны?