Интересно, есть ли недостатки или плохая практика при выполнении следующей процедуры: $ user_input -> htmlentities ($ user_input) -> mysql_escape ($ user_input) -> вставить $ user_input в DB Выберите $ user_input из DB -> echo $ user_input вместо того, чтобы делать следующее: $ user_input -> mysql_escape ($ user_input) -> вставить $ user_input в DB Выберите $ […]
Как я могу отключить опасную функцию eval ? Это можно сделать с помощью функции ini_set ? Также как отключить следующие функции? Можем ли мы отключить их с помощью функции ini_set ? allow_url_fopen allow_url_include exec shell_exec system passthru popen stream_select eval – одна из самых опасных функций, которую плохие парни могут использовать для использования вещей. Должен […]
Я пытаюсь вставить видео YouTube на мою страницу, как только пользователь даст ссылку на видео. <iframe width=\'560\' height=\'315\' src='http://www.youtube.com/watch?v=<video id>&output=embed' frameborder=\'0\' allowfullscreen></iframe> Но когда я пытаюсь добавить это, я получаю эту ошибку. После проверки страницы в хром я вижу эту ошибку на вкладке консоли «Отказано от отображения документа, потому что отображение запрещено с помощью X-Frame-Options» […]
Какие дыры в безопасности могут появляться на моем сайте, включая внешние изображения через тег img и как их избежать? В настоящее время я проверяю только изображение с расширением и mime-type при отправке (которое можно изменить после URL ), а URL очищается, прежде чем поместить его в атрибут src .
Я использую свой PHP- $_SERVER['HTTP_X_REQUESTED_WITH'] для обнаружения запросов AJAX, проверяя значение в $_SERVER['HTTP_X_REQUESTED_WITH'] . Это дает мне надежное обнаружение, гарантируя, что запрос выполняется с использованием методов AJAX. Как я могу убедиться, что запрос пришел из моего собственного домена, а не внешнего домена / робота? www.example.com/ajax?true может позволить кому-либо сделать вызов AJAX и сократить информацию. Я […]
Я хочу предотвратить множественные логины в приложении php. Во-первых, я создаю статус входа (активный, неактивный) в пользовательской таблице. Когда пользователь A регистрирует статус пользователя, будет установлен «активный», и если пользователь выйдет из системы, статус будет установлен на «notactive». Когда другой клиент пытается войти в систему с использованием той же самой учетной записи пользователя, я проверяю […]
Моя система основана на .net. Их система основана на PHP. Мы хотим обмениваться информацией для поиска и добавлять данные в соответствующие базы данных. Это нужно сделать безопасно, и две системы будут единственными игроками в этой игре. Я занимаюсь некоторыми исследованиями, но вещи, связанные с безопасностью, всегда меня отталкивают. Я должен признать, что у меня возникли […]
Если phpinfo() отображается конечному пользователю, что хуже всего, что вредоносный пользователь может сделать с этой информацией? Какие поля являются наиболее незащищенными? То есть, если ваш phpinfo() был публично отображен, после его снятия, где вы должны смотреть / фокусироваться на вредоносных эксплойтах?
Возможно ли, чтобы хакеры (или другие) могли загрузить / записать файл php в папку на моем сайте с chmod 777? Пример: У меня есть папка с chmod 777. Эта папка содержит изображения. Я использую .htaccess для блокировки индексации папки. Реформированный вопрос: могут ли люди записывать файл .php в мою папку с chmod 777, используя скрипт […]
На веб-сайте, который мы разрабатываем, после проверки безопасности мы выявили проблемы безопасности. Этот отчет также содержит уязвимости HTTP-параметров. В Интернете я мог найти, что такое ГЭС? Как это можно вводить и т.д .; Но я не мог найти, как избежать подобных проблем. Язык сервера – php. & i знаю, что один и тот же параметр […]