Articles of безопасности

Почему стандартное время сеанса 24 минуты (1440 секунд)?

Я занимался некоторыми исследованиями по обработке сеансов PHP и session.gc_maxlifetime значение session.gc_maxlifetime 1440 секунд. Мне было интересно, почему стандартное значение составляет 1440 и как оно рассчитывается? В чем заключается основа для этого расчета? Как долго имеет смысл проводить сеансы? Какие минимальные / максимальные значения для session.gc_maxlifetime вы бы порекомендовали? Я бы сказал, что чем выше […]

PHP security exploit – список содержимого удаленного PHP-файла?

Я пытаюсь использовать некоторые уязвимости в Интернете на веб-сайте, запущенном внутри виртуальной машины (он недоступен в Интернете – только для образовательных целей). У меня есть php-файл с именем setupreset.php который содержит информацию о конфигурациях MySQL, настройках и паролях, используемых для настройки веб-сайта. Это находится в том же каталоге, что и остальные файлы php (индекс, продукты, […]

Что такое md5 ()?

Я читал этот учебник для простой системы входа в систему PHP . В конце он рекомендует вам зашифровать ваш пароль, используя md5 () . Хотя я знаю, что это учебник для новичков, и вы не должны указывать банковские выписки за этой системой входа, это заставило меня задуматься о шифровании. Поэтому я пошел вперед и пошел […]

В любом случае защита вашего сайта от внешнего сайта scandir

Просто наткнулся на веб-сайт, в котором перечислены все скрытые файлы. Я использовал справочник Facebooks: «hashtag /», и результаты показали целую кучу файлов с http://www.facebook.com/hashtag/ Вот веб-сайт, который делает это: https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files Поэтому мой главный вопрос заключается в том, есть ли способ защитить ваш сайт от проверки на другом веб-сайте, показывающем секретные файлы, такие как: tokens.php, sessions.php, […]

Mysql шифрование / хранение конфиденциальных данных,

Для моего PHP-сайта у меня есть следующее: Поддержка SSL Печенье : session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly); Пароли SHA512 при транзите, затем пароль_hash () и, наконец, PASSWORD_BCRYPT Mysqli Подготовленные заявления Входы всех дезинфицированных, когда INSERTING / UPDATE в Mysql htmlentities и т. д., чтобы избежать xss там, где это возможно. Теперь я хочу использовать функцию AES_Encrypt […]

Создание системы лицензирования

Я разработал систему управления информацией для компании, в которой я работаю. Теперь я хотел бы создать систему лицензирования, чтобы помочь кому-то просто взять копию и настроить ее на своем собственном домашнем сервере и использовать ее в любых целях. Я знаю, что, пожалуй, самый простой способ сделать это – включить ссылку на ключ, хранящийся в удаленном […]

Уничтожение сеанса PHP

В разделе stackoverflow есть много страниц о том, как разобраться в сеансе. Поверьте мне, я читал их все, и я наткнулся на это: Почему моя сессия остается? Мой вопрос прост, правда ли, что мне нужно сделать все ниже, чтобы правильно уничтожить сеанс? $tmp = session_id(); session_destroy(); session_id($tmp); unset($tmp); Это единственная страница, которая предлагает такие экстремальные […]

PHP – uniqid ("", true) против uniqid ("") + mt_rand ()

Каковы основные различия между этими двумя подходами для генерации последовательных, но несколько уникальных чисел? Я хочу использовать такой номер, как уникальный идентификатор пользователя внутри MySQL db, а также как соль, чтобы солить пароль. Я понимаю, что для кластеризации и индексирования эти идентификаторы должны быть последовательными (я понимаю, что в некоторых случаях случайная строка будет делать […]

Санитария для URL-адреса, используемого в заголовке: местоположение?

В многоэтапном виде я получаю URL-адрес в качестве поля формы. После обработки мой PHP-скрипт перенаправляется на этот адрес с использованием header("Location: …"); Помимо возможности быть использованным в качестве службы перенаправления для порносайтово для создания безвредных перспективных связей в Emails (Open Redirect, которая может быть оказана путем сопоставления URL для локального домена), есть ли какая – […]

Как обеспечить ввод пользователем CSS, а не вредоносного кода?

На моем веб-сайте я хочу включить текстовое поле, которое позволит членам изменять что-либо, что им нужно, css wise в своих профилях …. но я не хочу просыпаться однажды утром, чтобы найти, что мой сайт взломан, или кто-то опечатал и уничтожили все или получили доступ к вещам, которые им не нужно. Есть ли простой способ проверить, […]

Intereting Posts
Ограничить нагрузку на ЦП или определить степень процесса Эквивалент PHP главной страницы в ASP.NET Неопределенная ошибка индекса в php с использованием ajax Может ли система оценки репутации быть реализована с использованием системы управления бизнес-правилами (BRMS), такой как OpenL Tablets, в PHP? Как отменить доступ к Microsoft APP для пользователя в php вставлять данные в MYSQL с помощью массива PHP Показать / скрыть поля в зависимости от значения выбора Отображение справа налево подключенных языков (таких как персидский и арабский) в GD – Возможная ошибка PHP Попытка установить OAuth на Ubuntu, но получить ошибки open_basedir – как установить для определенного каталога Как заменить слова вне двойных и одинарных кавычек Соглашение о названии базы данных / модели в Laravel? php POST-переменная с заголовками PHP Неустранимая ошибка: время передачи по ссылке удалено Доступ к последовательному порту через php