Возможный дубликат: Являются ли глобальные переменные в PHP плохой практикой? Если да, то почему? глобальные функции Изменить: вопрос указан в ссылке выше. Нет, «global» в php – это не то же самое, что и глобальное на других языках, и, хотя он не создает никаких проблем с безопасностью, он может сделать код менее понятным для других. […]
Я работаю над полностью управляемым ajax приложением, где все запросы проходят через то, что в основном составляет основной контроллер, который на его голой кости выглядит примерно так: if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') { fetch($page); } Достаточно ли этого для защиты от подделок подпроса? Довольно неудобно иметь вращающийся токен, когда вся страница не обновляется с каждым запросом. Я […]
Я разрабатываю систему входа и аутентификации для нового сайта PHP и читаю о различных атаках и уязвимостях. Однако это немного запутанно, поэтому я хочу проверить, что мой подход имеет смысл. Я планирую хранить следующие данные: В сеансе: user-id, HTTP_USER_AGENT + HTTP_USER_AGENT В файле cookie и в базе данных: случайный токен, хэшированный + соленный идентификатор На […]
У меня есть разные файлы PHP, данные которых отправляются (например, пароль при входе пользователя). Как я могу отправить на этот PHP из vb.net (настольное приложение, которое является Windows Forms, это не о ASP.net)
В настоящее время говорят, что MD5 является частично небезопасным. Принимая это во внимание, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос: «Двойной хэширование» пароля менее безопасен, чем просто его хэширование? предполагает, что хеширование несколько раз может быть хорошей идеей, а как реализовать защиту паролем для отдельных файлов? предлагает использовать соль. Я […]
Я знаю, что эта тема обсуждалась много , но у меня есть несколько конкретных вопросов, на которые еще не ответил. Например: // **PREVENTING SESSION HIJACKING** // Prevents javascript XSS attacks aimed to steal the session ID ini_set('session.cookie_httponly', 1); // Adds entropy into the randomization of the session ID, as PHP's random number // generator has […]
Компания, с которой я работаю, недавно была поражена множеством приложений для встраивания заголовков и загрузки файлов на узлах, которые мы размещаем, и хотя мы исправили проблему в отношении атак на вставку заголовков, нам еще предстоит получить под контролем эксплойт загрузки. Я пытаюсь настроить серию сценариев загрузки «plug-and-play-type» для использования внутри компании, которые дизайнер может скопировать […]
Короче говоря, наша компания недавно вторглась, когда наш БД MySQL был сброшен и украден. В настоящее время исполнители действительно нервничают и помимо повышения других мер безопасности, они намерены шифровать всю информацию о клиенте (адрес электронной почты, домашний адрес, имена и т. П.) В БД. Я не знаю, с чего начать. Мы запускаем приложение PHP. Очевидно, […]
Как и большинство пользователей, я просто пытаюсь найти безопасный способ хранения паролей. То, что я не нашел здесь (или, может быть, это мое отсутствие понимания), заключается в том, как получить соленый хеш в моей базе данных и отделить соль от хешированного пароля, особенно с уникальными солями для каждого пароля при сохранении соли + пароля в […]
Я создаю приложение, которое будет хранить пароли, которые пользователь может получить и посмотреть. Пароли для аппаратного устройства, поэтому проверка на хэш не может быть и речи. Мне нужно знать: Как шифровать и расшифровывать пароль в PHP? Какой самый безопасный алгоритм шифрования паролей? Где я храню закрытый ключ? Вместо того, чтобы хранить закрытый ключ, рекомендуется ли […]