Является ли mysql_real_escape_string достаточным для очистки ввода пользователя в большинстве ситуаций? ::РЕДАКТИРОВАТЬ:: Я имею в виду главным образом с точки зрения предотвращения SQL-инъекции, но в конечном итоге хочу знать, могу ли я доверять пользовательским данным после применения mysql_real_escape_string или если я должен принять дополнительные меры для очистки данных, прежде чем передавать их вокруг приложения и […]
Я извлекаю данные с внешнего сервера для использования с моим приложением для Android. Я хотел бы, чтобы эти данные были доступны только с моим приложением. Я использую стандартное http-соединение для получения данных с сервера apache / php в формате json. Я также отправляю некоторые параметры на сервер для получения соответствующих данных. Теперь я планирую сделать […]
У меня есть приложение для Android, которому необходимо часто подключаться к серверу для извлечения или добавления в базу данных разумных данных. Мне нужно было проверить, что вызовы на сервер, где они сделаны из приложения, поэтому я использовал этот подход: как проверить личность клиента с сервера? который состоит из жестко заданного строкового ключа в приложении, который […]
Я новичок в использовании подготовленных операторов в mysql с php. Мне нужна помощь в создании подготовленного оператора для извлечения столбцов. Мне нужно получить информацию из разных столбцов. В настоящее время для тестового файла я использую абсолютно незащищенную инструкцию SQL: $qry = "SELECT * FROM mytable where userid='{$_GET['userid']}' AND category='{$_GET['category']}'ORDER BY id DESC" $result = mysql_query($qry) […]
Мой приятель изучает PHP в настоящее время, и он прислал мне свой PHP-код, и я обнаружил, что он использует $ _REQUEST в своем коде. В учебнике, который я читаю, говорится, что У $ _REQUEST есть проблема безопасности, поэтому нам лучше использовать $ _POST. поэтому я ответил начальнику, что нам лучше использовать $ _POST. Это нормально?
В настоящее время я создаю веб-приложение, в которое файлы PHP загружаются в основной файл с использованием функции $ .ajax jQuery. Тем не менее, файлы PHP, очевидно, все еще доступны вне приложения, просто введя имя файла в адресной строке. Поэтому мой вопрос заключается в том, что было бы лучшим способом сделать так, чтобы PHP-файл был «ajaxed» […]
У меня есть сценарий входа в систему, который проверяет имя пользователя / пароль на данные в таблице «пользователь». Кроме того, у меня есть таблица «ролей», которая определяет уровень доступа данного пользователя. Предполагая, что я использую безопасные сценарии входа в систему, есть ли какие-либо дыры в безопасности для простого выполнения дополнительного запроса при успешном входе в […]
В течение многих лет я использовал global $var,$var2,…,$varn для методов в моем приложении. Я использовал их для двух основных реализаций: Получение уже заданного класса (например, соединение с БД) и передача информации в функции, отображаемые на странице. Пример: $output['header']['log_out'] = "Log Out"; function showPage(){ global $db, $output; $db = ( isset( $db ) ) ? $db […]
Я разработал API для получения всех данных. На сайте нет системы регистрации пользователей или чего-либо еще, чтобы идентифицировать пользователя, делающего вызов API. Если бы я мог идентифицировать пользователя, делающего вызов, всякий раз, когда кто-то злоупотреблял или атаковал API, я мог даже запретить его IP. Я собираюсь создать ключ API на основе IP-адреса или MAC-адреса пользователя, […]
Любая переменная, которую пользователь может контролировать, злоумышленник также может контролировать и, следовательно, является источником атаки. Это называется «испорченной» переменной и небезопасно. При использовании $_SERVER можно контролировать многие переменные. PHP_SELF , HTTP_USER_AGENT , HTTP_X_FORWARDED_FOR , HTTP_ACCEPT_LANGUAGE и многие другие являются частью заголовка HTTP-запроса, отправленного клиентом. Кто-нибудь знает «безопасный список» или незанятый список переменных $_SERVER ?