Когда пользователь регистрируется, я mysql_real_escape_string пароль с помощью mysql_real_escape_string как следует $password = clean($_POST['password']); Перед добавлением в базу данных я использую: $hashedpassword = sha1('abcdef'.$password); и сохранить его в mySQL. Мой вопрос в том, должен ли я его очистить, или я защищен тем, что пароль хэширован, прежде чем добавлять его в БД?
У меня мало информации о Flash, но для небольшой флеш-игры я должен хранить оценки и успешные попытки пользователей в базе данных с помощью PHP. Теперь Flash запускается локально на компьютере пользователя и подключается к удаленному серверу. Как я могу защититься от манипуляций с игровыми счетами. Существует ли какая-либо передовая практика для этого случая использования?
Извиняюсь, если мой вопрос неясен, но я не совсем согласен с жаргоном. Под «каталогами ресурсов» я имею в виду мои скрипты css, php, изображения, javascript ect. Я использовал файл .htaccess в каталоге изображений, который содержал deny from all сделать это. Хотя это помешало людям напечатать «www.example.com/images» в своем браузере и получить доступ к каталогу моих […]
Я создал (используя скрипт и некоторую помощь от Stack и некоторую помощь от друзей, я очень мало знаю о PHP), простую страницу для местной некоммерческой публикации, где люди могут загружать фотографии. Я не уверен в безопасности (из-за незнания, а не из-за небрежности), но я предпринял следующие шаги для защиты этой страницы: • PHP-скрипт настроен только […]
как бы ia) включить php-скрипт, который находится за пределами корня веб-сайта (действительно ли это было бы просто просто ./file.php), б) отправить данные формы в php-скрипт вне корня веб-сайта. Я убежден, что это краеугольный камень для безопасности php.
На данный момент я много работаю над основанной на PHP CMS, и пока я нахожусь в этом, я хотел бы переместить всю обработку и санирование входа пользователя в одно центральное место. (На данный момент здесь $ _REQUEST, здесь $ _GET и т. Д.). Мне очень нравится filter_input () и хотел бы использовать его для базовой […]
Есть ли способ сделать это? Получение необработанного файла .php с сервера (кроме доступа к FTP-учетной записи сервера)? Это причина, почему существуют инструменты / скрипты для шифрования исходного кода php? Если это правда, то как защитить от этого? (без использования шифрования исходного кода php) edit: упомянутый сервер имеет запуск php, например. apache-php-mysql, ваша стандартная конфигурация сервера […]
После того, как я знал, как обеспечить загрузку изображения. В обход полей ввода форм для загрузки нежелательных файлов я хотел бы привести еще один пример из 2 поданных файлов , один из них скрыт. Таблица SQL (id, name, jod, number) CREATE TABLE `users` ( `id` bigint(20) unsigned NOT NULL auto_increment, `name` varchar(255) default '0', `job` […]
Существует ли какой-либо сценарий, когда клиент / пользователь / хакер может самостоятельно устанавливать переменные $_SESSION (исключая вредоносное программное обеспечение, запущенное на компьютер-сервер. В основном я имею в виду через браузер)? Причина, по которой я спрашиваю, из-за этого вопроса, который я задал несколько дней назад. С тех пор я довольно запутался в этом вопросе, но у […]
Я понимаю, что использование eval(json_str) на клиенте уязвимо для вредоносного кода. Мой вопрос: если json_str был массивом, созданным функцией PHP json_encode , я был бы в безопасности? Например, json_str = json_encode(array(record1, record2, record3)); теперь было бы совершенно безопасно использовать eval(json_str) внутри клиентского кода?