security

Каков рекомендуемый способ установки флагов httponly и безопасности в файле cookie PHPSESSID? Я нашел http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-httponly . Есть предложения получше? Спасибо

В соответствии с вопросом, безопасно ли хранить пароли на страницах php, таких как $password = 'pa$$w0rd'; Если пол ... еле предлагали использовать хэш, однако возникла бы проблема с паролем для подключения к серверу базы данных, не так ли?

Итак, ребята, доступно множество различных шифров, но какой из них самый безопасный в настоящее время? Список: http://www.php.net/manual/en/mcrypt.ciphers.php

Я новичок в использовании подготовленных операторов в mysql с php. Мне нужна помощь в создании подготовленной инструкци ... величит ли это общую скорость, если я буду использовать подготовленное заявление только три или четыре раза на странице?

В настоящее время самообновление настольных приложений является довольно стандартной практикой. На Mac каждая программа ... Вы сохраняете дельту изменений версий или просто каждый раз выдуваете все целиком? Я ценю ваши мысли по этому поводу.

Я не знаю, произойдет ли это, но я попробую. В течение последнего часа я исследовал безопасность загрузки изображений ... жений супер безопасным. Или путем совместного использования/создания полного сценария со всеми добавленными фрагментами.

Этот вопрос был первоначально задан в комментарии здесь. По-прежнему ли необходим filter_input(), если вы использует ... гать вывода". Итак, помимо базы данных (или другой формы хранения), есть ли необходимость фильтровать введенные данные?

Только что получены результаты аудита безопасности - все ясно, кроме двух вещей Файл cookie сеанса без флага http. ... к файлу .ini. Можно ли установить их в файле htaccess? В качестве альтернативы, как и где я могу реализовать в коде?

ПРЕДУПРЕЖДЕНИЕ: Это возможный эксплойт. Не запускайте непосредственно на своем сервере, если вы не уверены, что с этим ... енарий оболочки, открыть порт или что-то в этом роде. Я могу декодировать base64 онлайн, но я не смог его распаковать.

Я только что наткнулся на этот код в библиотеке HTTP Auth фреймворка Zend. Похоже, он использует специальную функцию ср ... for ($i = 0; $i < strlen($a); $i++) { $result |= ord($a[$i]) ^ ord($b[$i]); } return $result == 0; }

Я разрабатываю веб-приложение. Например, правильный, в прошлом я использовал такие вещи, как Joomla, для создания потря ... е. Я знаю, что это целая куча вопросов, но, подводя итог, что вы делаете, чтобы убедиться, что все на 100 % безопасно?

Мне нужна функция PHP, AES256_encode($dataToEcrypt) для шифрования $data в AES-256, а другая AES256_decode($encryptedData) делает обратное. Кто-нибудь знает, какой код должен быть у этих функций?

В PHP-фреймворке CodeIgniter есть функция, которая автоматически запускается при каждом запросе, которая, среди прочег ... ST? Тем более, что (я бы предположил) входные значения так же пригодны для использования, что это на самом деле мешает?

Мой веб-сайт недавно был атакован, как мне показалось, невинным кодом: <?php if ( isset( $ _GET['page'] ) ) { ... s/webmasters/php/security/Code_Injection_Vulnerabilities_Explained.html Как бы вы защитили этот код от кода инъекция?

Я создал веб-сайт, на котором есть регистрация/логин. Я вижу файл cookie PHPSESSID в инструментах разработчика Chrome, ... ookie PHPSESSID? Они дайте ему другое название для неизвестности, или они просто используют совершенно другой механизм?

Требуется аутентификация в параметрах GET и POST, а не только файлы cookie; Проверка заголовка HTTP-реферера; Увиде ... дрес ссылки И как мне подтвердить ПОЛУЧЕНИЕ а ПОЧТОВЫЕ параметры? против чего? сохраненная информация? ожидаемый тип?

Я разрабатываю PHP-приложение, которое должно отвечать на запросы нескольких клиентов, и я думаю: "Может ли кто-нибудь из клиентов увидеть PHP-код, который я пишу?".

Я пытаюсь создать безопасный и легкий очиститель HTML на основе белого списка, который будет использовать DOMDocument. ... приимчива к любому вектору атаки XSS, который я мог бы бросить на нее. Я высоко ценю все ваши ценные ответы, спасибо.

Существует ли какой-либо сценарий, в котором клиент/пользователь/хакер может самостоятельно устанавливать переменные $_ ... воря, насколько это возможно, если я проверю каждую страницу чем-то вроде isset($_SESSION['validated']), это безопасно?

Допустим, у нас есть эта форма, и возможная часть для пользователя, чтобы внедрить вредоносный код, приведена ниже ... ... ode(.....), чтобы обойти кавычки, но я все еще не могу получить простое всплывающее окно с предупреждением. Есть идеи?