Articles of безопасности

Постоянный вход PHP – регенерация имени входа

Я пытаюсь реализовать постоянное решение для входа в систему для защиты некоторых страниц администратора на веб-сайте, над которым я работаю, используя этот ответ SO в качестве основы: Система входа в систему PHP: Запомнить меня (постоянный файл cookie) После входа в систему if ($login->success && $login->rememberMe) { // However you implement it $selector = base64_encode(openssl_random_pseudo_bytes(9)); $authenticator […]

Защита файлов PHP

Привет, спасибо всем за то, что вы прочитали мой вопрос. Я некоторое время работал над веб-программой PHP и задавался вопросом, какие меры следует принять для защиты источника, прежде чем размещать его на реальном сервере. Источник не распространяется, к нему обращаются через веб-сайт (пользователи регистрируются на веб-сайте, чтобы использовать его). Сначала я хотел бы защитить исходные […]

Получение даты создания Facebook в профиле

Возможно ли получить дату и время создания профиля Facebook с помощью Graph API? Мне нужно, чтобы механизм аутентификации не позволял пользователям Facebook только что создаваться.

Функция PHP – hash_pbkdf2

Я пытаюсь выполнить функцию хэш-паролей с помощью этой функции php: http://be.php.net/manual/en/function.hash-pbkdf2.php . Вот код: $hash_algo = "sha256"; $password = "password"; $salt = "salt"; $iterations = 1; $length = 1; $raw_output = false; $hash = hash_pbkdf2($hash_algo, $password, $salt, $iterations ,$length ,$raw_output); echo $hash; Я получил эту ошибку: Fatal error: Call to undefined function hash_pbkdf2 (). Как […]

Могу ли я доверять типу файла из $ _FILES?

Могу ли я доверять типу файла из $_FILES при загрузке изображений? Или мне нужно снова проверить exif_imagetype() ?

Безопасный сброс пароля без отправки по электронной почте

Как я могу реализовать функцию безопасного сброса пароля без отправки пользователю электронной почты? Существует еще один безопасный бит информации, который я храню, и только пользователь должен знать, но кажется небезопасным просто позволить пользователю обновить пароль только потому, что они знают 9-значное число. Обратите внимание, что данные пользователя хранятся в простой таблице SQL из-за ограничений для […]

Самый безопасный способ передачи переменных между двумя страницами с PHP

Мне нужен способ передать переменную между двумя страницами безопасным способом. Я знаю, что я могу использовать POST / GET / Cookie / Session или скрытые поля, но я думаю, что ни один из этих способов недостаточно безопасен, потому что: get можно увидеть в URL-адресе cookie – клиентская сторона, поэтому это может быть изменение от клиента […]

Где лучше всего хранить соль для пароля для веб-сайта?

У меня есть две соли, каждый пользователь имеет уникальную соль, которая хранится с информацией о пользователе в базе данных. Вторая соль – та, которая относится к веб-сайту. Оба они необходимы для хеширования паролей. Проблема в том, что я не знаю, где я должен сохранить свой сайт. Сейчас он находится в методе PHP, который запускает алгоритм […]

Возможно ли «пиратствовать» переменную сеанса (я не хочу знать, как)

В настоящее время я делаю сайт в php, мы используем переменную Session для хранения уровня разрешений для каждого пользователя. Например, если кто-либо из вас пойдет на сайт, вы автоматически получите переменную сеанса со значением «член». Я спрашиваю: возможно ли, чтобы злоумышленник вышел на веб-сайт и изменил значение переменной сеанса для «admin» вместо «member», Я не […]

Username, Password, Salting, Encrypting, Hash – Как все это работает?

Возможный дубликат: Безопасный хэш и соль для паролей PHP Iv'e читал много сообщений как в stackoverflow, так и на других сайтах, говорящих о безопасности в Интернете. Такие, как соление шифрования и т. Д. И я вроде бы не понимаю, поэтому простое объяснение было бы действительно полезно. Итак, вот что я знаю до сих пор. Пользователь […]