Articles of безопасности

MySQL – Как хранить AES_Encrypted данные?

Поэтому я просматривал интернет и сталкивался с встроенной функцией MySQL AES_ENCRYPT. Это не кажется слишком сложным в использовании, но некоторые источники говорят мне хранить зашифрованные данные как VARCHAR, а некоторые говорят, что они хранят его как BLOB. Что я должен хранить зашифрованные данные как?

«Установить имена» и mysqli_set_charset – кроме того, что они влияют на mysqli_escape_string, они идентичны?

Похоже, что использовать mysql_set_charset / mysqli::set_charset вместо прямых set names запросов MySQL. Часто упоминаемая причина заключается в том, что set names небезопасны, потому что кодировка, используемая для mysql_real_escape_string / mysqli::real_escape_string будет установлена ​​только вызовом mysql_set_charset / mysqli::set_charset . (Другая причина, о которой идет речь, заключается в том, что в документах PHP говорится, что это «не […]

100% безопасный сценарий загрузки фотографий

Вопрос прост. Как я могу сделать 100% безопасный сценарий загрузки фотографий с помощью php? Есть ли учебные пособия, которые показывают все возможные пробелы в безопасности? Не предлагайте мне посмотреть на этот вопрос , потому что там они говорят только о размере. Но я хочу быть уверенным, что никто не может загружать оболочку и другие вещи. […]

Альтернатива Md5 в PHP?

Какая лучшая альтернатива алгоритму Md5 для PHP для шифрования данных пользователя, таких как пароли и другие безопасные данные, хранящиеся в базах данных MySQL?

Является ли PHP password_hash () + password_verify () безопасным сегодня (май 2016 года)?

Таким образом, вопрос в значительной степени находится в заголовке ^^. Ниже приведен небольшой код php, который я сделал для проверки производительности на моем сервере (+ скриншот результата), а также покажу вам, как я намереваюсь использовать очень просто password_hash () и password_verify (). Думаю, я поеду с PASSWORD_BCRYPT и стоимостью = 11, что вы думаете? <?php […]

очистка переменных $ _POST

Я пытаюсь придумать способ эффективно очистить все переменные POST и GET с помощью одной функции. Вот сама функция: //clean the user's input function cleanInput($value, $link = '') { //if the variable is an array, recurse into it if(is_array($value)) { //for each element in the array… foreach($value as $key => $val) { //…clean the content of […]

Как я могу обеспечить безопасный способ сброса пароля?

В настоящее время я заканчиваю сайт, на котором пользователи должны создавать личную учетную запись, чтобы играть в игру, размещенную на том же веб-сайте. В настоящее время мне сложно понять, как реализовать безопасные функции сброса пароля для пользователей в случае забытого пароля. Это процесс, который в настоящее время действует: Шаг 1 : Пользователь нажимает ссылку «Забыли […]

Как защитить веб-службу RESTful php с помощью безопасности SSL / TLS и / или уровня сообщений

У меня есть веб-сервис RESTful, написанный на php, который использует JSON для связи. Некоторые из передаваемых данных действительно чувствительны (пароли), и я ищу способ достичь разумного уровня безопасности для службы. Клиент – приложение silverlight 4. Я искал четкую информацию о том, как реализовать SSL / TLS (я предполагаю, что проверка подлинности сертификата клиента входит в […]

PHP $ _SESSION для нескольких пользователей одновременно

Мне интересно, как работает массив $ _SESSION. Если у меня много пользователей, использующих мой сайт, мне нужно установить подмашину для каждого пользователя? Например, прямо сейчас у меня есть $_SESSION['userid'] = $userid; $_SESSION['sessionid'] = $sessionid; $_SESSION['ipaddress'] = $ipaddress; но для того, чтобы справиться с большим количеством пользователей, мне нужно создать многомерный массив? $_SESSION[$userid]['sessionid'] = $sessionid; $_SESSION[$userid]['ipaddress'] […]

Статическая соль против случайной соли – безопасность PHP

Есть ли разница в работе между $hash=sha1($key.$staticSalt); а также $hash=sha1($key.$randomSalt); Если я использую случайную соль, мне нужно хранить случайную соль в базе данных, с другой стороны, если я использую фиксированную соль, тогда нет необходимости использовать БД! И если код можно взломать, чтобы увидеть соль (статический), тогда хакер сможет увидеть базу данных также с хешем и […]