security

Функция PHP rand() не дает хороших случайных чисел. Поэтому я начал использовать mt_rand(), который, как говорят, дает ... ion = mt_rand(0, 99); return $generated[$position]; } Это должно дать вам "идеальные" случайные числа, не так ли?

Я ищу рекомендации по выполнению строгой проверки/фильтрации (белого списка) отправленного пользователем HTML. Основна ... е простых стратегий, которые также эффективны? Есть какие-нибудь подводные камни, на которые следует обратить внимание?

На этот вопрос уже есть ответ здесь: Почему переменные $_POST экранируются в PHP? ... сервере... Должен ли я отключить его? У меня есть корневой доступ, и это мой сервер:) Какой вред в его отключении?

Недавно я узнал об атаках CSRF и был рад узнать, что защита CSRF была добавлена в Codeigniter v 2.0.0. Я включил эту ... также хранит токен в сеансе. При отправке запросов CI автоматически сравнивает токены или мне нужно делать это вручную?

В нашем приложении пользователи могут создавать пользовательские функции экспорта в виде инструкций SQL. Что-то вроде э ... ряет, опасен ли запрос или нет. (Будет ли это хорошо? Есть ли уже такой регулярное выражение?) Мы используем PHP PDO.

Как я могу отключить опасную функцию eval? Можно ли это сделать с помощью функции ini_set? Также как отключить следую ... ен быть в состоянии отключить функцию eval программно. Таков сценарий. Ищу полезные ответы/решения. Еще Раз Спасибо.

Я использую crypt() для хэширования паролей в PHP и пытаюсь разработать наиболее безопасный способ проверки равенства п ... сть ли конкретный случай, в котором === или strcmp потерпели бы неудачу. Что является наиболее безопасным для этой цели?

Согласно руководству по PHP, чтобы сделать код более переносимым, они рекомендуют использовать что-то вроде следующего ... дпочел не полагаться на специфичную для базы данных функцию экранирования, такую как строка mysql_real_escape_string().

Я не разработчик PHP, но я оцениваю безопасность приложения PHP5. Автор полагался на extract($_POST) и extract($_GET ... ть ли какая-нибудь интересная переменная, которую нужно установить/изменить, может быть, во внутренностях PHP? Спасибо

Это мой код для управления аутентификацией на веб-сайте. Я не уверен, что моя логика верна. Если имя пользователя и пар ... сибо. 5/6 ответов имеют голоса меньше 0:(Могли бы избиратели прокомментировать, чтобы я знал, на что обращать внимание?

В данный момент я применяю метод "бросить все в стену и посмотреть, что прилипнет", чтобы остановить вышеупомянутые про ... не полностью безопасно. Наверное, я спрашиваю, какие методы вы, ребята, используете и насколько они успешны? Спасибо

Меня просят написать веб-API для приложения (исполняемый файл ПК, , а не веб-приложение ), которое позволит отправлять ... мя пользователя/пароль. Аутентифицировать нужно будет приложение(приложения), а не пользователей приложения(приложений).

Извините, если это тривиально или очевидно, но я не смог найти ответ, погуглив его. Откуда берется значение size в ма ... , необходимо ли проверять фактический размер файла с помощью функции filesize, чтобы заметить, правильно ли он загружен?

Я создаю сценарий входа в систему, который я хотел бы сделать максимально безопасным. Проблема в том, что безопасность, ... ча (разумно) безопасна. На правильном ли я пути? Что еще можно сделать, чтобы защитить мой логин? Спасибо за помощь!

Я уже несколько дней рыщу по сети, пытаясь разобраться в этом, но получаю противоречивые ответы. Существует ли библио ... не было бы интересно посмотреть, как они делают это в коде. Любая помощь очень признательна, извините за длинный пост!

Если верны следующие утверждения, Все документы подаются с заголовком HTTP Content-Type: text/html; charset=UTF-8. ... ствующим именованным сущностям HTML) недостаточно для защиты от межсайтовых сценариев при создании HTML на веб-сервере?

У меня есть HTML-форма для редактирования изображений. Все данные хранятся в формате JSON. Когда я изменяю текущее изоб ... break; case 'read': $s = file_get_contents('config.txt'); echo json_encode($s); break; }

Я только что обсудил со своим товарищем по команде расположение загруженных пользователем изображений в галерее изображ ... ой отредактированную упрощенную версию того, что придумал каждый из нас - просто чтобы показать механику обоих подходов.

Итак, я просматривал Интернет и наткнулся на встроенную в MySQL функцию AES_ENCRYPT. Это не кажется слишком сложным в ис ... некоторые говорят, что хранить их в виде большого двоичного объекта. В каком виде я должен хранить зашифрованные данные?

Недавно я прочитал "RFC 6265" в атрибуте "Тот же сайт", я просмотрел несколько статей, в которых говорилось об этом в а ... Документация по функциям в Chrome chromestatus.com HTTPbis проект, впервые принятый Chrome Последние HTTPbis черновик