Я занимался некоторыми исследованиями по обработке сеансов PHP и session.gc_maxlifetime значение session.gc_maxlifetime 1440 секунд. Мне было интересно, почему стандартное значение составляет 1440 и как оно рассчитывается? В чем заключается основа для этого расчета? Как долго имеет смысл проводить сеансы? Какие минимальные / максимальные значения для session.gc_maxlifetime вы бы порекомендовали? Я бы сказал, что чем выше […]
Я пытаюсь использовать некоторые уязвимости в Интернете на веб-сайте, запущенном внутри виртуальной машины (он недоступен в Интернете – только для образовательных целей). У меня есть php-файл с именем setupreset.php который содержит информацию о конфигурациях MySQL, настройках и паролях, используемых для настройки веб-сайта. Это находится в том же каталоге, что и остальные файлы php (индекс, продукты, […]
Я читал этот учебник для простой системы входа в систему PHP . В конце он рекомендует вам зашифровать ваш пароль, используя md5 () . Хотя я знаю, что это учебник для новичков, и вы не должны указывать банковские выписки за этой системой входа, это заставило меня задуматься о шифровании. Поэтому я пошел вперед и пошел […]
Просто наткнулся на веб-сайт, в котором перечислены все скрытые файлы. Я использовал справочник Facebooks: «hashtag /», и результаты показали целую кучу файлов с http://www.facebook.com/hashtag/ Вот веб-сайт, который делает это: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files Поэтому мой главный вопрос заключается в том, есть ли способ защитить ваш сайт от проверки на другом веб-сайте, показывающем секретные файлы, такие как: tokens.php, sessions.php, […]
Для моего PHP-сайта у меня есть следующее: Поддержка SSL Печенье : session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly); Пароли SHA512 при транзите, затем пароль_hash () и, наконец, PASSWORD_BCRYPT Mysqli Подготовленные заявления Входы всех дезинфицированных, когда INSERTING / UPDATE в Mysql htmlentities и т. д., чтобы избежать xss там, где это возможно. Теперь я хочу использовать функцию AES_Encrypt […]
Я разработал систему управления информацией для компании, в которой я работаю. Теперь я хотел бы создать систему лицензирования, чтобы помочь кому-то просто взять копию и настроить ее на своем собственном домашнем сервере и использовать ее в любых целях. Я знаю, что, пожалуй, самый простой способ сделать это – включить ссылку на ключ, хранящийся в удаленном […]
В разделе stackoverflow есть много страниц о том, как разобраться в сеансе. Поверьте мне, я читал их все, и я наткнулся на это: Почему моя сессия остается? Мой вопрос прост, правда ли, что мне нужно сделать все ниже, чтобы правильно уничтожить сеанс? $tmp = session_id(); session_destroy(); session_id($tmp); unset($tmp); Это единственная страница, которая предлагает такие экстремальные […]
Каковы основные различия между этими двумя подходами для генерации последовательных, но несколько уникальных чисел? Я хочу использовать такой номер, как уникальный идентификатор пользователя внутри MySQL db, а также как соль, чтобы солить пароль. Я понимаю, что для кластеризации и индексирования эти идентификаторы должны быть последовательными (я понимаю, что в некоторых случаях случайная строка будет делать […]
В многоэтапном виде я получаю URL-адрес в качестве поля формы. После обработки мой PHP-скрипт перенаправляется на этот адрес с использованием header("Location: …"); Помимо возможности быть использованным в качестве службы перенаправления для порносайтово для создания безвредных перспективных связей в Emails (Open Redirect, которая может быть оказана путем сопоставления URL для локального домена), есть ли какая – […]
На моем веб-сайте я хочу включить текстовое поле, которое позволит членам изменять что-либо, что им нужно, css wise в своих профилях …. но я не хочу просыпаться однажды утром, чтобы найти, что мой сайт взломан, или кто-то опечатал и уничтожили все или получили доступ к вещам, которые им не нужно. Есть ли простой способ проверить, […]