Я пишу основной скрипт входа в PHP в PHP (login_config.php). Мой вопрос: правильно ли я выполняю функцию password_verify () в отношении безопасности / защиты пользователей? -Примечание: Почтовые данные отправляются из login.php КОД (LOGIN_CONFIG.PHP): <?php //POST VARIABLES $submit = $_POST['login_submit']; $username = $_POST['login_username']; $password = $_POST['login_password']; $email = $_POST['login_email']; require 'password_config.php'; if(isset($submit)){ require 'db/connect.php'; //PASSWORD VERIFYING […]
Я понимаю, что использование PDO делает инъекции SQL практически невозможными. Однако на данный момент у меня нет времени изменить весь код, связанный с базой данных, на нашем веб-сайте. (Тем более, что я новичок в PDO, есть определенная кривая обучения). Поэтому я хочу знать, какие функции mysql / php будут обеспечивать ту же безопасность, что и […]
Я знаю, как работают куки, просто начал копать, почему Codeigniter не хранит сгенерированный токен csrf в SESSION, он просто хранится в cookie. Обеспокоенный безопасностью, я начал думать о параметрах функции php setcookie (), таких как путь и домен. И я спросил себя, можно ли установить «evil_cookie» с путём = '/' и domain = 'www.goodsite.com' из […]
Я получаю загрузки видео и загрузки изображений: Моя среда: LAMP EDIT: я разрешу удаленную загрузку и загрузку POST видео EDIT2: Файлы, которые я получаю, будут переименованы, я не буду хранить оригинальные имена файлов. Сначала я проверяю с $_FILES mime $_FILES . Во-вторых, я проверяю с finfo_file (если функция существует) снова mimetype ( PHP 5.3 ) […]
есть ли HTTP-заголовок для отключения Javascript для конкретной страницы? Мой веб-сайт предоставляет созданный пользователем HTML-контент (поэтому я не могу просто использовать htmlenitities ), и я хотел бы предотвратить создание сценариев (JavaScript-инъекций). Я уже использую HttpOnly-cookie для аутентификации только в основном домене, тогда как пользовательский контент отображается только на поддоменах, где cookie не может быть прочитан. […]
Как разместить идентификатор пользователя в сеансе? просто вставить идентификатор? Я имею в виду (например): $_SESSION['id'] = 1; Невозможно изменить его самим пользователем (как cookie ..)? Потому что, если это так, он может перейти на любой идентификатор. Еще один вопрос об этом – как я могу проверить, зарегистрирован ли пользователь (с сеансами)? Я создал сеанс: $_SESSION['is_logged_in'] […]
Более поздние версии Laravel (правильно) используют POST для выхода из сеанса. Причиной этого является то, что GET / HEAD следует использовать только для того, чтобы пассивные действия соответствовали требованиям HTTP. POST с токеном csrf также защищает злонамеренных пользователей / сайтов от регистрации ваших сеансов: https://security.stackexchange.com/questions/62769/must-login-and-logout-action-have-csrf-protection Однако, если сеанс уже отключен, и пользователь нажимает кнопку выхода […]
Этим летом я установил две разные системы PHP. Каждый использует два разных метода: Метод № 1: Один файл PHP на задание Этот метод требует создания файла PHP для каждой важной задачи. Например, мой сценарий загрузки будет доступен через http://www.domain.com/upload.php . В upload.php создается и используется экземпляр класса «controller» и «view». Например, upload.php может выглядеть примерно […]
Я не понимаю, почему мы должны защищать файлы cookie и сеанс, у меня есть файл cookie, который хранит пароль пользователя, имя пользователя, зашифрованный пароль. У меня есть функция, которая проверяет файлы cookie в любой момент, если информация совпадает с информацией в DataBase, если нет, перенаправляется на страницу входа. однако я не понимаю, с каким риском […]
Я хотел знать, может ли процесс хеширования хеша помочь остановить атаки на него (грубая сила, я думаю) при использовании с солью. Итак, мой код: function hash_password($password, $salt, $site_key) { $hash = hash('sha512', $password . $salt . $site_key); for ($i=0; $i<1000; $i++) { $hash = hash($hash); } return $hash; } Из того, что я могу решить, […]