Articles of Безопасность

Почему я должен запрещать прямой доступ к файлам PHP, которые не отражают ничего?

Например, если у меня есть почтовый скрипт или сценарий, который записывает в базу данных – скрипты, которые не отражают ничего важного (кроме благодарения или сообщения об ошибке), но делают много важной работы на заднем плане. Каким образом возможные проблемы безопасности могут быть напрямую связаны с ними? Стоит ли препятствовать прямому доступу к таким файлам? Они […]

Защищенная пользовательская переменная PHP

На моем веб-сайте у меня есть переменная с именем $user_data которая содержит входные данные из формы. Затем я показываю эту переменную на странице пользователя (через эхо). Каков наилучший способ избежать любых рисков безопасности с помощью этой переменной? Я использую strip_tags() , но этого недостаточно. Эта переменная также сохраняется в базе данных MySQL.

Безопасная отправка PHP Получить информацию от iOS

Итак, вот в чем ситуация: у меня есть приложение iOS, в котором пользователи вводят информацию в определенные ярлыки, а затем я создаю URL-запрос на основе данных, предоставленных пользователям, и отправляю их на мой PHP-сервер. URL-адрес выглядит следующим образом: http://www.somewebsite.com/send.php?title=hello&name=john&contact=email Теперь проблема с вышеизложенным заключается в том, что любой, кто имеет доступ к URL-адресу, может легко […]

Получение pagename с помощью PHP_SELF – опасности?

Я подумываю использовать PHP_SELF, чтобы захватить имя страницы, которую пользователь посещает. Я хорошо осведомлен об опасностях использования PHP_SELF в таких местах, как действия формы, хотя я не уверен, где было бы больно использовать в hrefs? Но это не относится к основному вопросу. , , так или иначе. Существуют ли какие-либо опасности при использовании PHP_SELF для […]

Как безопасно использовать file_get_contents?

Я создаю базовый PHP-источник для папки кода примера моего блога. <?php if (isset($_GET['file'])) { header('Content-type: text/plain'); $filename = realpath($_GET['file']); if (startsWith($filename, dirname(__FILE__))) { echo file_get_contents($filename); } } function startsWith($haystack, $needle) { $length = strlen($needle); return (substr($haystack, 0, $length) === $needle); } ?> Есть ли у меня здесь достаточно, чтобы он никогда не позволял просматривать файл […]

Сессия Cookie без набора флагов HttpOnly

У меня есть joust построил веб-сайт с системой входа. После того, как я только что был готов, я просмотрел его с помощью Acunetix, но получил следующее сообщение: Session Cookie без установленного флага HttpOnly Session Cookie без установленного флага безопасности (думаю, это только если у меня есть SSL-соединение) Итак, мой вопрос: как я могу установить флаг […]

Вопрос безопасности PHP?

Я просто хотел знать, какие основные методы безопасности PHP я должен использовать при создании веб-страницы, которая принимает статьи? Я довольно новичок в PHP и задаюсь вопросом, что будет держать форт до тех пор, пока я не специалист по безопасности?

Насколько безопасность действительно нужна на «частном» веб-сайте?

Я спрашиваю об этом, поскольку я поддерживаю небольшой веб-сайт для довольно изолированной группы людей (не более 80). В настоящее время он имеет простую функцию входа в систему (электронная почта, пароль), а данные, «защищенные», являются только контактной информацией для наших членов (телефон, адрес, адрес электронной почты). Веб-сайт написан на PHP и использует My SQL. Эти последние […]

Безопасное хранение учетных данных базы данных

В последнее время возникла серьезная проблема, когда моя веб-хостинга перепуталась, и все мои php-файлы были показаны в виде обычного текста. Это было серьезной проблемой для меня по очевидным причинам. Главным образом, поскольку детали базы данных mysql были выставлены. Теперь я пытаюсь изменить способ, с помощью которого мои php-файлы получают информацию для входа в базу данных, […]

Когда рекомендуются наиболее рекомендуемые времена использования mysql_real_escape_string ()

Im фактически новичок в использовании этой функции .. и использовал preg_replace и addslashes до обнаружения. Мне больше всего любопытно, потому что Im собирается пройти, и ужесточить безопасность в области проводки в моем первом большом приложении, и хотел бы знать лучшие примеры, когда эта функция эффективна и настоятельно рекомендуется. Я видел, что эта функция применяется в […]