Articles of Безопасность

Вход / Выход из приложения iPhone

Я хотел бы узнать, как управлять входом пользователя и выходом из него в родные приложения для IPhone. Например, каждый раз, когда мое приложение запускается, пользователь должен войти в систему. Информация, которую приложение выполняет, и список пользователей на веб-сайте php + mysql. Какая «стандартная» процедура для этого? Есть ли библиотека для обработки логина пользователя на удаленном […]

Сессионные файлы cookie http и secure flag – как вы их устанавливаете?

Только что получил результаты аудита безопасности – все ясно, кроме двух вещей Сессия cookie без флага http. Сессия cookie без установленного флага. Приложение закодировано в php, и исправления заключаются в следующем: установить cookie cookie только с флагом только http установить cookie cookie с безопасным флагом Я рассмотрел примеры, но не полностью понимаю, как реализовать на […]

Взломанный, что делает этот кусок кода?

ПРЕДУПРЕЖДЕНИЕ: Это возможный эксплойт. Не запускайте прямо на своем сервере, если вы не знаете, что с этим делать. http://pastehtml.com/view/1b1m2r6.txt Я считаю, что это было загружено через ненадежный сценарий загрузки. Как декодировать и распаковывать этот код? Запуск его в браузере может выполнить его как скрипт оболочки, открыть порт или что-то еще. Я могу сделать base64-декодирование в […]

Хранение паролей для MYSQL в приложении PHP безопасным способом

У меня есть приложение php, которое подключается к базе данных из кода. Я блуждаю, какие будут безопасные способы хранения этих учетных данных? Это сервер linux. EDIT: Я просто хочу услышать некоторые информированные мнения, чтобы получить информированное мнение myslef, чтобы обсудить это с моей командой. Я против шифрования любых паролей, но моя команда не убеждена. Я […]

Использует ли извлечение ($ _ POST) неуверенно?

Использует ли extract($_POST) неуверенно? Если да, то что я могу сделать по этому поводу?

Безопасная связь между JavaScript и веб-службой в PHP

Я хочу сделать веб-сервис (с сообщением, получить, удалить – REST) ​​и 2 клиента для него. Первый клиент будет на JavaScript, и ему нужно будет общаться с веб-сервисом, а второй клиент – настольным приложением. Я искал в Интернете решение для обеспечения безопасности связи, но я его не нашел. Является ли это возможным ? Я не могу […]

Как отключить все загрузки файлов на сервер?

Есть ли способ, через php.ini или .htaccess отключить все загрузки файлов на сервер? Единственный улов, я хочу иметь одну папку (например, папку администратора), чтобы все еще иметь доступ к загрузке. Я думаю о том, когда вы отключите eval и exec . Этот вопрос связан с тем фактом, что я видел сайты, зараженные вредоносными программами, которые […]

обеспечение безопасного веб-приложения php

для защиты моего проекта от атак (пример: SQL injection) im, используя ниже для страниц параметров запроса (*. php? query = value): $id=strip_tags($id); $id=mysql_real_escape_string($id); if(is_numeric($id) && strlen($id)<=3) //id are numbers maximum of 3 digits Помимо этого, используя проверки клиента (JavaScript) и сервера (php), strip_tags() фильтрует данные по мере необходимости. Пароли шифруются с помощью bcrypt() Все сообщения […]

PHP SQL Injection Prevention

Возможный дубликат: Как предотвратить SQL-инъекцию в PHP? Я работаю на веб-сайте для потокового видео для моей библиотеки колледжа. Я использую PHP и MySql. Я не использовал какие-либо параметризованные запросы в этом проекте. Недавно я узнал о SQL Injections. Теперь, когда мой код почти завершен, и я должен представить проект в ближайшие два дня, как я […]

безопасность php для ввода заголовка местоположения через $ _GET

У меня есть этот код на моей странице: header ("Location: $ page"); $ page передается скрипту как переменная GET, нужна ли мне безопасность? (Если да, то) Я собирался просто использовать addlashes (), но это наполнило бы URL-адрес …