Рассматривая старый код клиента, он использует <form action="<?php echo $_SERVER['PHP_SELF']; ?>" /> Мне было интересно, подвержен ли он XSS, но когда я пытаюсь: form.php"><script>alert('xss');</script> => 404 NOT FOUND из Apache form.php/"><script>alert('xss');</script> => 404 Из моего приложения Я должен указать, что я также использую? Action = specific_page в URL для его нормального использования. Означает ли это, […]
mysql_real_escape_string используется для операторов SQL. Достаточно ли для безопасности базы данных? Например, с get_magic_quotes_gpc () мы используем stripslashes . Есть ли проблема, которую мы должны знать об использовании другой функции с mysql_real_escape_string? заранее спасибо
Я хотел бы знать, что BEST-решение для защиты включает файлы. На данный момент мое решение таково: в индексном файле: define('KEY','security'); include('s.php'; s.php: if(KEY!='security') exit;
Я ищу, чтобы найти способ, которым я могу защитить область администратора, особенно сама папка из внешнего доступа (сюда входят папки с изображениями и css). Я прочитал много предложений, но все они чувствуют себя скорее компромиссом или работой, чем пуленепробиваемый метод, или я не понимаю, что лучше всего для безопасности и скрыто от внешнего мира, я […]
Вот сводка моего кода: Мой веб-сайт в основном просто контует содержимое всех строк определенной таблицы; однако иногда мне нужно получить индивидуальный идентификатор из определенной строки. Скрытый ввод работает, но я знаю, что это будет большой нагрузкой на безопасность. После того, как я получу идентификатор из скрытого ввода, мне нужно вставить его в другую таблицу. Хакеры […]
Какие существуют идеи для хранения изображений на веб-серверах. Im Взаимодействие с PHP и MySQL для приложения. Вопрос 1 Можем ли мы изменить имя физического файла на a000000001.jpg и сохранить его в базовом каталоге или сохранить неуправляемое имя пользователя, то есть «Justin Beiber Found dead.jpg»? Например wwroot/imgdir/a0000001.jpg и все метаданные в базе данных, такие как FileName […]
Я делаю веб-приложение, и я хочу, чтобы он был безопасным, поэтому я буду использовать SSL и, будет хэш-пароли. Но мой сервер управляется другой компанией, и это общий хостинг-сервер, у них есть прямой доступ к базе данных. Я хочу предотвратить любую возможную потерю конфиденциальной информации, поэтому я думаю о шифровании всех данных в базе данных. Это […]
Прошу простить мое невежество, потому что у меня почти нет опыта веб-разработки. Я реализовал простой механизм, в котором я использую пароль пользователя (отправленный как параметр post / get) и сохраняю его в базе данных. После успешного входа в систему я возвращаю идентификатор пользователя (PK в базе данных) обратно клиенту. Последующие запросы должны иметь идентификатор пользователя, […]
Я хочу проверить, находится ли путь к файлу в текущем дереве каталогов. Предположим, что параметр задан как js/script.js . Мой рабочий каталог (WD) – это /home/user1/public_html/site Теперь для текущего WD, если кто-то поставляет js/script.js я могу просто проверить его, добавив к WD. Он работает для такого нормального пути. Но если кто-то (может быть атакующим) хочет […]
Я использую разные веб-страницы на нескольких разных серверах общего хостинга / веб-пространства. Таким образом, у меня нет корневого доступа к серверам, но только для моего корневого / домашнего каталога веб-ресурсов и очень ограниченных прав пользователя. Одна из моих страниц на WordPress недавно была взломана . Похоже, что некоторые уязвимости были использованы для доступа к веб-пространству, […]