Поэтому я делаю основную страницу входа в систему. У меня есть хорошая идея, что делать, но я все еще не уверен в некоторых вещах. Конечно, у меня есть база данных, полная студентов и столбца паролей. Я знаю, что в этом столбце я буду использовать шифрование md5. Студент вводит свой идентификатор электронной почты и студента, и, […]
Это хорошо освещенная тема, но я хотел бы получить некоторое подтверждение о методах использования данных из пользовательских переменных в нескольких разных ситуациях. Эта переменная никогда не используется в базе данных, никогда не сохраняется, отображается только на экране для пользователя. Какую функцию использовать, чтобы убедиться, что html или javascript не могут повредить? Переменная берется в базу […]
Я создал файл класса database.php, который обрабатывает все запросы sql и подключается к базе данных. Я храню имя пользователя и пароль для базы данных в переменной (что легко увидеть, если вы получаете доступ к файлу php). Я хочу зашифровать это имя пользователя и пароль, чтобы даже после того, как этот файл php не смог получить […]
Я наткнулся на следующую особенность: $ handle = fopen (realpath ("../ folder / files.php"), "r"); не может прочитать файл, но как только я удаляю теги php из файла, он становится читаемым, и мои скрипты печатают непустой контент на странице. Кроме того, file.php никогда не выполняется, поэтому я задаюсь вопросом, почему это проблема. Я предполагаю, что […]
Я программирую веб-сайт, на котором вы можете публиковать материалы. Это работает со следующим jQuery ajax: $.ajax({ type: 'POST', url: 'action/post.php', data: 'posttext='+posttext+'&imageurl='+imageurl, success: function(feedback){ $('#feedback').val(feedback); } }); Теперь я задаюсь вопросом: кто-нибудь мог написать свой собственный аякс, чтобы опубликовать что-то на сайте и делать это снова и снова. Как я могу это предотвратить? Я уверен, […]
Возможный дубликат: Помещение основных классов выше корня сети – хорошая или плохая идея? Я продолжаю читать, что лучше всего устанавливать учетные данные для подключения к MySQL (независимо от того, является ли это классом, определяет и т. Д.) За пределами корня веб-сайта (над папкой www). Почему это? Если учетные данные находятся в файле .php, то не […]
Я пытаюсь заставить exec работать на сервере Windows и получать сообщение об ошибке «неспособное fork». После небольшого перебора проблемы, кажется, рекомендуется исправить это, чтобы предоставить учетную запись IUSR READ и EXECUTE для c: \ Windows \ System32 \ cmd.exe. Но это было серьезное отверстие безопасности? Это безопасно? Есть ли другой способ выполнить [из php] exe, […]
У меня есть сайт, на котором я создаю систему входа для … В приведенном ниже коде была отправлена форма с «именем пользователя» и «паролем». Также доступна функция «remember_me» (код еще не проверен): else if($row['password']===$pass){ session_start(); $_SESSION['logged_in'] = '1'; $remember_me = isset($_POST['remember']) ? $_POST['remember'] : '0'; if($remember_me=='1'){ $text = "SECRET_TEXT_AND_NUMBERS_HERE"; $username= $row['username']; $salt1 = sha1($row['alt_username']); $salt2 […]
Поэтому мой вопрос очень прост. Проверяя, что пользователь все еще зарегистрирован на любой странице, я буду использовать if (isset($_SESSION['user']) && $_SESSION['user'] == true) { CODE } Но не следует ли использовать хеш-значение вместо логического значения для $ _SESSION ['user']? Все справочники, которые я нахожу, используют логические значения, но с моей точки зрения это утечка безопасности, […]
В настоящее время я пишу программу, и часть ее включает надежное создание хэшей для хранения в базе данных, и я столкнулся с инфраструктурой phpass , которая, как представляется, настоятельно рекомендуется. В phpass они, по-видимому, проходят большую длину, чтобы получить соль, которая по-настоящему случайна, чтобы ее можно было использовать для хэшей (например, чтение из / dev […]