Articles of безопасности

Как безопасно хранить пароли, используемые для входа на сторонние веб-сайты

Прежде всего, я не ищу способ хранения паролей моего собственного сайта, чтобы пользователи могли войти (что я мог бы легко использовать с помощью соленых хэшей пароля). Я создаю персональную веб-страницу, где я бы хотел проверить мой баланс PayPal на домашней странице. Для этого мне нужно сохранить учетные данные PayPal в базе данных MySQL, поэтому я […]

Вход защищен PHP

Я не уверен, как я могу сделать безопасные входы со строками. Например, я получил: $id = intval($_POST['id']); $name = $_POST['name']; $sql->query("UPDATE customers SET name = " . $sql->escape_string($name) . " WHERE id = {$id}"); Я уверен, что $name недостаточно защищено. Как я могу защитить его, чтобы предотвратить уязвимость XSS? С уважением, циклон.

Определенная функция «mysql_entities_fix_string» в PHP не вызвана

<?php require_once 'login.php'; require_once 'welcome.php'; $db_server = mysql_connect($db_hostname,$db_username,$db_password); if(!$db_server) die("Unable to connect with MySql : " . mysql_error()); mysql_select_db($db_database) or die("Unable to connect with db"); echo <<<_END <form action = 'ps.php' method = 'post'><pre> Enter your Username <input type = 'text' name = 'username'> Enter your Password <input type = 'text' name = 'password'> <input […]

Остановка загрузки – PHP

Я сохранил этот код в index.php, и после заполнения я нажал кнопку «Отправить», а затем мне была показана страница проверки! Мой вопрос в том, как он обнаружил, что это не с исходного сервера ? [я надеюсь, что они не используют реферер, поскольку его можно легко отключить] Мой поддельный код <html> <form id="post-form" action="http://stackoverflow.com/questions/ask/submit" method="post"> <input […]

Другая проблема с правами доступа к файлам

У меня есть сайт для объявлений, и когда пользователи публикуют новые объявления, они могут захотеть загрузить изображения. Мой php-код принимает выбранное изображение, загружает его в папку с изображением и называет его соответствующим образом. Проблема здесь в том, что я должен установить папку изображений на 777, чтобы это работало. Мой вопрос в том, на что должны […]

предотвращать прямой доступ к php

У меня есть php-скрипт PayPal eStores / dl_paycart, но у него есть PayPal eStores "settings.php" Уязвимость в обходе безопасности Я хотел бы знать, могу ли я предотвратить прямой доступ к файлу include. Это поможет? defined( '_paycart' ) or die( 'Access to this directory is not permitted' ); спасибо

PHP / JAVASCRIPT / Mysql: предотвращение инъекций javascript

Это может быть возможный дубликат этого вопроса здесь , но он действительно не подходит и не отвечает на мой вопрос таким образом, что я (глупая голова) могу это понять. Хорошо, у меня есть формуляр на веб-странице, как показано в моем предыдущем вопросе . Прежде чем использовать $ txtpost для инъекции запросов mysql, я теперь добавил […]

не использовать сеанс в php

Я немного прочитал, как защитить сеанс, и я решил сделать это, чтобы сохранить session_id в базе данных, а затем сохранить его в переменной сеанса после того, как он был зашифрован. Вот класс, который я использовал для шифрования (он был написан автором книг Ориэля): Зашифрованный класс с помощью session_set_save_handler Я применяю его так: ini_set('session.use_only_cookies',true); //calls the […]

Являются ли @imagecreatefromjpeg и imagejpeg () эффективными для предотвращения загрузки пользователями изображений с вредоносным кодом php внутри них?

Вот код в upload_processor.php : include_once 'functions.php'; $name = $_FILES['upload-image']['name']; $type = $_FILES['upload-image']['type']; $size = $_FILES['upload-image']['size']; $temp = $_FILES['upload-image']['tmp_name']; $error = $_FILES['upload-image']['error']; img_processor($temp, $error, $size) И вот functions.php : function img_processor($img_temp, $img_error, $img_size){ if($img_error===0){ if($img_size < 4194304){ if( $proc_img = @imagecreatefromjpeg($img_temp) ){ imagejpeg($proc_img,'../uploaded/something.jpeg'); } elseif( $proc_img = @imagecreatefrompng($img_temp) ){ imagepng($proc_img,'../uploaded/something.png'); } elseif( $proc_img = @imagecreatefromgif($img_temp) […]

Безопасность выполнения команды из php

Я пишу веб-приложение, в котором я использую несколько сторонних команд, вызывающих их с помощью функции exec в PHP (например, я делаю формулы Latex с помощью командной строки). Мой вопрос: каковы проблемы безопасности при выполнении внешних программ командной строки в php? О чем я должен знать? Можете ли вы дать мне список очков для проверки? EDIT: […]