Возможно ли каким-то образом просмотреть другие веб-сайты php-файлы / коды? Или перефразировать вопрос. Могут ли мои php-коды просматривать кто-либо, кроме тех, кто имеет доступ к файлу? Если да, то как я могу лучше всего это предотвратить? Ps: Сервер OS – Ubuntu 9.10, а версия PHP – 5+ (Apache2)
Возможно ли подделка или захват содержимого переменной $_SERVER['REMOTE_ADDR'] ? Я хотел бы подделать запрос с: $_SERVER['REMOTE_ADDR']='127.0.0.1'; Как я могу сделать это с помощью PHP? Может ли CURL это сделать?
Кроме того, что $_REQUEST читает файлы cookie, есть ли причины, по которым я должен использовать $_GET и $_POST вместо $_REQUEST ? Каковы теоретические и практические причины для этого?
Я не разработчик PHP, но я оцениваю безопасность приложения PHP5. Автор полагался на extract($_POST) и extract($_GET) в некоторых местах, за пределами функций. Мое предложение состоит в том, чтобы вызвать extract($_POST, EXTR_PREFIX_ALL, 'form') и изменить код соответственно, но его позиция заключается в том, что любая переменная переопределяется внутри последующих включает в любом случае. Я могу легко […]
Будет ли mysql_real_rescape_string () достаточно, чтобы защитить меня от хакеров и SQL-атак? Спросить, потому что я слышал, что они не помогают против всех атак? Ищем совет экспертов. EDIT: Также, как насчет LIKE SQL-атак?
Хорошо, поэтому я и друг делают мини-презентацию по безопасности PHP (я вообще не занимаюсь PHP), и он попросил меня найти несколько примеров уязвимого кода PHP (который подвержен SQL-инъекциям и всем другим типам атак ). Мне было интересно, есть ли какие-либо сайты с хорошими и плохими фрагментами кода, показывающими, как вы должны и не должны кодировать? […]
У меня на моем веб-сайте есть страница PHP, которая извлекает данные из моей базы данных, которые будут представлены на моем веб-сайте. Эта страница вызывается через AJAX. Как я могу ограничить доступ к нему только со страниц моего веб-сайта, поэтому пользователи, которые хотят злоупотреблять им и получать эти данные не с веб-сайта (например, отправлять HTTP-запрос со […]
У меня есть php-страница, содержащая форму. Иногда эта страница представляется сама (например, при загрузке фото). Я бы не хотел, чтобы пользователи заполняли все поля снова и снова, поэтому я использую это как значение ввода текста внутри формы: value="<?php echo htmlentities(@$_POST['annonsera_headline'],ENT_COMPAT,'UTF-8');?>"> Это работает, за исключением того, что перед каждой двойной кавычкой добавляется знак «\» … Например, […]
Скажем, у меня есть сеть веб-сайтов. Когда пользователь входит в систему, я хочу, чтобы им не приходилось снова регистрироваться на других сайтах. Есть ли защищенный способ сделать это?
Учитывая контактную форму, которая принимает пользовательский ввод пользователя (например, адрес, строка темы, сообщение), каковы некоторые последствия для безопасности и «gotchas», чтобы быть осторожным? Как минимум, адрес электронной почты пользователя должен быть подтвержден (вероятно, с использованием filter_var () или эквивалентного). Из того, что я прочитал, это также должно помешать добавлению дополнительных заголовков в скрипт. Как насчет […]