Articles of безопасности

Лучшая практика для генерации случайного токена для забыли пароль

Я хочу сгенерировать идентификатор забытого пароля. Я читаю, что могу сделать это, используя timestamp с mt_rand (), но некоторые люди говорят, что отметка времени может быть не уникальной каждый раз. Поэтому я немного запутался здесь. Могу ли я сделать это с использованием отметки времени с этим? Вопрос Что лучше всего создавать случайные / уникальные маркеры […]

PHP-файл загрузки повышает безопасность

Эй, мой вопрос: как предотвратить, чтобы кто-то загрузил вирус или какой-то вредоносный код с расширением, которое вы притворяетесь, например, у меня есть файл для загрузки файлов в формате pdf, каждый может загрузить двоичный файл с помощью камуфляжа в формате pdf, для этого есть много программ.

Следует ли переименовать загруженные файлы?

Я читал о безопасности загрузки файлов PHP, и несколько статей рекомендовали переименовать файлы. Например, в статье OWASP « Неограниченная загрузка файлов» говорится: Для определения имен файлов рекомендуется использовать алгоритм. Например, имя файла может быть хэшем MD5 имени файла плюс дата дня. Если пользователь загружает файл с именем Cake Recipe.doc действительно ли есть какая-то причина переименовать […]

Использование встроенного сервера PHP в производстве

Мне недавно понравился встроенный веб-сервер PHP 5.4. На первый взгляд кажется, что, хотя и довольно barebones, при достаточной работе можно было бы распространять PHP-приложения, которые традиционно зависят от отдельного веб-сервера, такого как WordPress, как автономные скрипты, которые вы могли бы просто запустить с php -S localhost:80 app.php (или, более вероятно, './wordpress.sh' ). Они могут даже […]

Всегда ли хранить пароль в виде обычного текста в переменной php или константе php?

В соответствии с вопросом, безопасно ли хранить пароли на php-страницах, таких как $password = 'pa$$w0rd'; Если пользователи не могут это увидеть, это безопасно, не так ли? EDIT: Некоторые люди на самом деле предложили использовать хеш, однако возникла бы проблема с паролем подключения к серверу базы данных, не так ли?

Подтвердить, что файл представляет собой изображение в PHP

Если файл загружен на сервер, есть ли способ использования PHP, чтобы убедиться, что это на самом деле изображение, а не только файл с расширением .jpg или .gif?

php шифрование паролей

Хорошо, я знаю, что эта тема много поднимается в stackoverflow, но они не подчеркивают ответы, которые они ищут. Я использую шифрование md5, которое я сказал (было давно, когда я был noob на php) был в безопасности, но если вы посмотрите на старый добрый Google, он зашифровал и расшифровал. поэтому я начал искать другие места, ака. […]

PHP Предотвращение возврата страницы после выхода из системы

У меня есть защищенная страница, которая показывает данные только для входа в систему, как только пользователь нажимает кнопку выхода из системы, она уничтожает данные сеанса и перенаправляет их на другую страницу. header('Location: login.php'); Теперь, как только страница будет перенаправлена ​​на login.php, я могу легко вернуться на страницу, которая была защищена, и может видеть всю информацию […]

Почему опустить тег закрытия?

Я продолжаю читать, что плохо использовать практику тега PHP close ?> В конце файла. Проблема заголовка кажется несущественной в следующем контексте (и это единственный хороший аргумент до сих пор): Современные версии PHP устанавливают флаг output_buffering в php.ini. Если буферизация вывода включена, вы можете установить заголовки HTTP и файлы cookie после вывода html, потому что возвращенный […]

Как включить защиту DDoS?

DDoS (распределенные атаки на отказ в обслуживании), как правило, заблокированы на уровне сервера? Есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его? Если нет, то какой самый быстрый и самый распространенный способ остановить атаки DDoS?

Intereting Posts
Лучший способ реализовать многоязычность в PHP Являются ли ресурсы ресурсов ICU для ресурсов перевода сообщений Ajax не работает над тегом select, PHP, AJAX Преобразование адресов из имени <address@domain.tld> в формат phpmailer Альтернатива для 'eval () uating' условие Арбитражная точность в PHP Покрытие Phpunit: в чем разница между параметрами addUncoveredFilesFromWhitelist и «processUncoveredFilesFromWhitelist»? как я могу получить идентификатор входа пользователя из mysql с помощью глобальной переменной в моем приложении для Android? PHP – Как получить доступ к объекту pdo из других (нескольких) классов php включает проблему с URL-адресами с параметрами? view = task & others file not found Кодирование / Сжатие большого целого числа в буквенно-цифровое значение PHP null и copy-on-write Могу ли я динамически создавать субдомены (PHP, .htaccess) с GoDaddy Hosting? Удаление функции во время выполнения в PHP Как обрезать белые пробелы значений массива в php