Я разработал приложение php, и у меня есть config.php, который хранит постоянное использование среди приложения, в этом файле он включает всю важную информацию, такую как адрес сервера Mysql, номер порта, имя пользователя и пароли. Я беспокоюсь о том, что кто-то может получить файл и сделать то, чего я не хочу, как я могу защитить этот […]
Это пример кода, который я получил на странице Facebook Engineering. <?php if ($_POST['name']) { ?> <span>Hello, <?=$_POST['name']?>.</span> <?php } else { ?> <form method="post"> What is your name?<br> <input type="text" name="name"> <input type="submit"> </form> <?php } В нем говорится, что вышеуказанный код не защищен, потому что он открыт для межсайтового скриптинга. правильным способом является передача […]
Быстрый … возможно, глупый вопрос. Когда allow_url_include отключен, запрещает ли другие компьютеры удаленно включать файлы на моем сайте, или он говорит, что мне не разрешено удаленно включать файлы с других сайтов?
Есть ли риск инъекций при использовании подготовленных операторов и mysqli_stmt_bind_param? Например: $malicious_input = 'bob"; drop table users'; mysqli_stmt_bind_param($stmt, 's', $malicious_input); За кулисами mysqli_stmt_bind_param передает эту строку запроса в mysql: SET @username = "bob"; drop table users"; Или он выполняет команду SET через API или использует какой-то тип защиты, чтобы это не происходило?
Я надеялся выяснить некоторые вопросы, которые у меня были с безопасностью AJAX. Итак, вот сценарий, который я пытаюсь обвести вокруг себя. Допустим, я использую AJAX для запроса получувствительного материала на страницу. Например, я собираюсь передать идентификатор пользователя в php-файл и вернуть некоторую информацию о себе. Теперь, что удерживает кого-то от подражания этому запросу Javascript и […]
Сценарий ниже, test.php, предназначен для размещения в определенном каталоге всех моих сайтов wordpress. Его цель – захватить файл по адресу $ source ниже и извлечь его в каталог, в котором он находится. Это все, что нужно сделать. Например, у меня будет интерфейс панели инструментов на моем центральном сервере, в котором перечислены все мои сайты, на […]
Каков наилучший способ для дезинфекции запроса $_GET[''] ? Я хочу разрешить загрузку файлов только из одного каталога. $baseDir = "/home/html/xy.com/public_html/downloads/"; $path = realpath($baseDir . $_GET['file']); Каким будет следующий шаг?
Как заставить скрипт удалить себя после завершения работы? редактировать: Это для моего сценария установки, я хочу, чтобы он удалился по соображениям безопасности (так что злоумышленник не сможет перезаписать существующий сайт). Я забыл упомянуть, что у него есть свой каталог «includes», который я тоже хотел бы удалить … Может ли кто-нибудь добавить, как удалить этот каталог? […]
Я пытаюсь создать двухфакторную систему аутентификации (на PHP) с использованием SMS в качестве второго метода auth. Это для тестового проекта, таким образом, может кто-нибудь помочь мне разработать эту услугу? Это будет веб-система, а ниже – то, что я сделал до сих пор. Как только клиент войдет в Имя пользователя и пароль, веб-сайт отправит на наш […]
Языки, такие как Perl, Pythong и т. Д., Как правило, считаются более безопасными по сравнению с PHP. Помимо возможных явлений безопасности, одна из причин может быть (я не знаю, я спрашиваю), что мы не помещаем исполняемые файлы Perl и Python в общую папку. Поскольку файлы PHP не являются исполняемыми, безопасно хранить их в общей папке. […]