Общий сценарий атаки: В 2013 году у Django была общая уязвимость, так как злоумышленник мог создавать чрезвычайно интенсивные вычисления CPU с помощью очень больших паролей ( см. Здесь уведомление о безопасности ). Я не уверен, что это возможно при использовании PHP password_verify () и других методов хеширования пароля без каких-либо дополнительных проверок. Документация PHP говорит: […]
Я использовал PHP crypt() как способ хранения и проверки паролей в моей базе данных. Я использую хэширование для других вещей, но crypt() для паролей. Документация не так хороша, и, похоже, много дебатов. Я использую blowfish и две соли, чтобы склеить пароль и сохранить его в базе данных. Прежде чем я сохраню соль и зашифрованный пароль […]
В соответствии с вопросом, безопасно ли хранить пароли на php-страницах, таких как $password = 'pa$$w0rd'; Если пользователи не могут это увидеть, это безопасно, не так ли? EDIT: Некоторые люди на самом деле предложили использовать хеш, однако возникла бы проблема с паролем подключения к серверу базы данных, не так ли?
Если файл загружен на сервер, есть ли способ использования PHP, чтобы убедиться, что это на самом деле изображение, а не только файл с расширением .jpg или .gif?
Хорошо, я знаю, что эта тема много поднимается в stackoverflow, но они не подчеркивают ответы, которые они ищут. Я использую шифрование md5, которое я сказал (было давно, когда я был noob на php) был в безопасности, но если вы посмотрите на старый добрый Google, он зашифровал и расшифровал. поэтому я начал искать другие места, ака. […]
У меня есть защищенная страница, которая показывает данные только для входа в систему, как только пользователь нажимает кнопку выхода из системы, она уничтожает данные сеанса и перенаправляет их на другую страницу. header('Location: login.php'); Теперь, как только страница будет перенаправлена на login.php, я могу легко вернуться на страницу, которая была защищена, и может видеть всю информацию […]
Я продолжаю читать, что плохо использовать практику тега PHP close ?> В конце файла. Проблема заголовка кажется несущественной в следующем контексте (и это единственный хороший аргумент до сих пор): Современные версии PHP устанавливают флаг output_buffering в php.ini. Если буферизация вывода включена, вы можете установить заголовки HTTP и файлы cookie после вывода html, потому что возвращенный […]
DDoS (распределенные атаки на отказ в обслуживании), как правило, заблокированы на уровне сервера? Есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его? Если нет, то какой самый быстрый и самый распространенный способ остановить атаки DDoS?
Я хотел бы зашифровать данные, которые перемещаются между сервером и клиентом в моем веб-приложении. Я бы использовал SSL, но для этого требуется сертификат вместе с выделенным IP-адресом. У меня нет проблем с получением сертификата, но для выделенного IP-сервера мне требуется перейти на план бизнес-хостинга, который составляет 20 долларов США в месяц на моем веб-хосте. У […]
Это мой код для проверки подлинности на веб-сайте. Я не уверен, правильна ли моя логика. Если имя пользователя и пароль верны, произойдет следующее: if(session_start()) { session_regenerate_id(true);//without this the session ID will always be the same $_SESSION['loggedInUser'] = $uName; echo 'You are now logged in'; } else echo 'Right password/username but session failed to start'; Последующие […]