В настоящее время я работаю над панелью VPS, которая использует модель «ведущий-ведомый». Один главный сервер запускает панель, написанную на PHP, и управляет несколькими подчиненными серверами через SSH. Доступ к подчиненным серверам осуществляется через ограниченную учетную запись, которая может подчиняться конкретным командам, связанным с администрированием сервера, и все взаимодействия регистрируются в каталоге, к которому у самой […]
Каковы риски безопасности, связанные с отключением «session.cookie_secure» в PHP под защищенными соединениями? Я пытаюсь отключить это, так как я не могу получить доступ к данным сеанса с https-страниц на http-страницах.
Основной вопрос: безопасно ли хранить HTML в базе данных, если я ограничу, кто может подчиниться ему? У меня довольно простой вопрос. Я предоставляю видеоуроки и другой контент. Не тратя месяцы на запись правильного синтаксического анализа BBCode, мне нужно будет сохранить HTML, чтобы я мог выглядеть так, как хочу, когда я его извлекаю из базы данных. […]
У меня есть приложение facebook, и некоторые функции требуют некоторых сценариев, запущенных через ajax. Есть ли способ убедиться, что сценарий вызывается только из моего приложения? Я использую jquery для вызовов ajax следующим образом: $.post('script.php', {var1: val1, var2: val2}, function(data){…}); , Код внутри script.php запускает несколько sql-запросов и просто проверяет, что все запрошенные переменные передаются через […]
http://www.php.net/manual/en/features.remote-files.php Единственный раз, когда я мог подумать о включении (« http: //someotherserver/foo.php »), был бы каким-то странным интерфейсом обслуживания внутри сервера, но даже тогда я мог бы думать о миллионах разных способов, которые были бы более безопасными совершить то же самое. Тем не менее, мой конкретный вопрос: кто-нибудь видел удаленные включения в производственную среду и […]
Мы работаем над созданием системы wordpress с нуля с помощью системы шаблонов и задаемся вопросом о безопасности. Мы надеемся, что у нас будет модель SaaS, где пользователь будет находиться на том же сервере, что и несколько других пользователей, но мы надеемся также предоставить им инструменты для изменения их собственных файлов представлений, что означает доступ к […]
Является формой в обычном домене ( http : //www.domainname.com/form.php) со следующим тегом действий: <form action="https://www.domainname.com/mail.php" method="POST"> действительно безопасно?
У меня есть небольшое приложение AJAX, написанное на PHP, которое я не защитил с самого начала. Я бы хотел, чтобы некоторые рекомендации о том, как теперь защитить приложение, что нужно реализовать и проверить. Я не нашел исчерпывающих руководств по Google и надеюсь, что некоторые из них могут быть рекомендованы. Это небольшое приложение, которое подключается и […]
Привет У нас есть PHP-код, использующий функцию file_get_contents (), и я понимаю, что это уязвимо для атак с перенаправлением directcoty. Учитывая следующий код: $mydata=$_GET['thefile']; $data = file_get_contents ('/var/html'.$file); echo $data Как я могу выполнить некоторую простую фильтрацию ввода, чтобы я мог блокировать вероятность того, что кто-то может сделать переезд каталога, играя с моим вводом? /МИСТЕР
Основываясь на некоторых исключительно полезных советах, я использую следующий код для включения файлов PHP вне моего корневого каталога, который выглядит примерно так: define('WEB_ROOT', __DIR__); define('APP_ROOT', dirname(__DIR__)); define('PHP_ROOT', APP_ROOT . DIRECTORY_SEPARATOR . 'application'); include(PHP_ROOT . DIRECTORY_SEPARATOR . 'bootstrap.php'); Мой вопрос в том, что, скажем, например, вы включаете код bootstrap.php в соответствии с тем, что у вас […]