Articles of безопасности

json_decode возвращает NULL в строке, прошедшей через шифрование

Я пытаюсь обеспечить информацию о моей базе данных, а стандартный тип данных – JSON, и я просто написал некоторые простые функции mcrypt которые шифруют и дешифруют любой текст, вот они: function encrypt($key, $data){ $encrypted_data = mcrypt_cbc(MCRYPT_RIJNDAEL_192, $key, $data, MCRYPT_ENCRYPT); return base64_encode($encrypted_data); } function decrypt($key, $encryptedData){ $decrypt = mcrypt_cbc(MCRYPT_RIJNDAEL_192, $key, base64_decode($encryptedData), MCRYPT_DECRYPT); return $decrypt; } У […]

Шифрование «нулевого знания» для базы данных mysql

Я искал шифрование для уровня базы данных моего веб-приложения. Он использует MySQL 5.1 (или выше, я не помню). Приложение, управляемое моей организацией, хранит данные для публичных клиентов. Самый простой выбор – AES_ENCRYPT / AES_DECRYPT, который помог бы, если бы baddie каким-то образом получил доступ к моей базе данных (если они не знали ключа). Однако я […]

Проверьте, является ли строка хешем

Я использую SHA-512 для хеширования моих паролей (с солью). Я не думаю, что то, что я хочу, возможно, но давайте спросим в любом случае. Есть ли способ проверить, является ли строка уже хэшем SHA-512 (или другого алгоритма)? Когда пользователь входит в систему, я хочу проверить его пароль. Если он все еще находится в открытом тексте, […]

Регистрация, логин, сеанс и публикация мер безопасности

Это будет первый раз, когда я задаю вопрос кому-либо в отношении веб-разработки. Причина, по которой я решил задать этот вопрос, несмотря на многие подобные вопросы, заданные ранее другими, объясняется тем, что ответы, полученные другими в прошлом, приходили в большом количестве и субъективности, поэтому я смутился и сомневался в том, как подойти к нему. Я понимаю, […]

Как сделать сеансы более безопасными?

Возможный дубликат: Безопасность сеанса PHP Я использую сеансы по всему моему приложению. Я хочу сделать их намного более безопасными. В настоящее время я использую код как $username = $_SESSION['username']; и тому подобное. Как сделать сеансы более безопасными?

Проблема с MySQL AES_DECRYPT

Я ищу способ зашифровать данные на своем пути в базу данных MySQL и расшифровать их на выходе. Кроме того, я хотел бы иметь возможность выполнять обычные SQL-запросы в этих полях, таких как поиск и сравнение, что мешает мне использовать чистое PHP-решение. Это приводит меня к AES_ENCRYPT () и AES_DECRYPT (), которые могут быть дублированы в […]

Как дезинфицировать PDF-файлы

Мое приложение позволяет пользователю загружать изображения. Вот как я дезинфицирую изображения: $file = file_get_contents($_FILES['file']['tmp_name']); $image = @imagecreatefromstring($file); imagepng($image, $outputFilename); Это защищает от: Непреднамеренные метаданные Попытка загрузить не изображения в качестве изображения И затем я обслуживаю этот санированный образ другим пользователям. Теперь мне нужно сделать то же самое с PDF-файлами. Я хочу принять загруженный пользователем PDF-файл, […]

OAuth – ошибка в Twitter (не удалось аутентифицировать)

Я написал класс (так что я мог бы узнать, как работает OAuth). Он работает нормально; Я могу получить токен доступа с классом. Но когда я пытаюсь опубликовать обновление, он говорит, что я не аутентифицирован! Что я здесь делаю неправильно? // By Kevin Jacobs class OAuth { private $url = null; private $debug = false; private […]

Md5 соль пароль php

Я знаю, что есть много вопросов по этому вопросу, но мне действительно нужно спросить об этом. Сегодня я работаю над шифрованием паролей с помощью md5. Так что я сделал. У меня было 4 соли. (они изменяются в зависимости от пользовательских значений) от email id и substr, затем md5 them по электронной почте и id substr […]

Ограничить unserialize () для возврата массивов?

Есть ли способ ограничить использование unserialize () PHP только для анализа массивов? По соображениям безопасности. Предположим, что существует злой метод __unserialize () в несерриализованном объекте, который я не хочу звонить!