Articles of security

Создание веб-страницы с учетными записями пользователей, что мне нужно иметь в виду?

Я пытаюсь написать веб-сайт с учетными записями пользователей. Существует не так много конфиденциальной информации, кроме пароля и адреса электронной почты. Но я не совсем понимаю, что я делаю; Я как бы взламываю его, когда иду. Есть ли что-нибудь, что я должен иметь в виду в отношении безопасности или любых других важных деталей?

Почему PDO печатает мой пароль при сбое соединения?

У меня есть простой сайт, на котором я устанавливаю соединение с сервером Mysql с использованием PDO. $dbh = new PDO('mysql:host=localhost;dbname=DB;port=3306', 'USER', 'SECRET',array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8")); У меня был некоторый трафик на моем сайте, и был достигнут лимит подключения к серверу, и сайт выдает эту ошибку с моим паролем PLAIN! Неустранимая ошибка: исключить исключение «PDOException» […]

Создание частных, уникальных, безопасных URL-адресов

Я хотел бы создать безопасный тип доступа с одним щелчком мыши, аналогичный приведенным ниже примерам. Я буду использовать PHP, но это не имеет значения, поскольку я просто хочу понять базовую концепцию. В некоторых ответах предлагается использовать GUID, но я не думаю, что это даст мне абсолютно уникальный, безопасный URL-адрес, как показано ниже. # Google Calendar […]

Требуется ли htmlspecialchars () для вывода ALL?

Я пишу некоторые сценарии для Expression Engine, и мне сказали, что каждый отдельный фрагмент данных, который мы выводим на страницу, требует «дезинфекции», чтобы предотвратить XSS. Например, здесь я извлекаю все категории из базы данных, сортируя их по массиву и возвращаюсь в Expression Engine. Функция PHP public function categories() { $query = $this->crm_db->select('name, url_name') ->order_by("name", "asc") […]

«Mysqli_real_escape_string» достаточно, чтобы избежать SQL-инъекций или других SQL-атак?

Это мой код: $email= mysqli_real_escape_string($db_con,$_POST['email']); $psw= mysqli_real_escape_string($db_con,$_POST['psw']); $query = "INSERT INTO `users` (`email`,`psw`) VALUES ('".$email."','".$psw."')"; Может ли кто-нибудь сказать мне, является ли он безопасным или уязвим для атаки SQL Injection или других SQL-атак?

phpass возвращает разные результаты

Я просто поместил свой проект из localhost на свой хост и используя ту же функцию (phpass), я получаю разные результаты, а длина возвращаемой строки также различна. (и все работает на localhost btw) Таким образом, одна и та же функция возвращает false в режиме онлайн. Мне было интересно, в чем проблема. Вот результат: Вход: 12345 localhost […]

Могу ли я ограничить доступ к веб-папке только зарегистрированным пользователям моего веб-сайта?

Пользователи моего веб-сайта используют учетные записи, которые они настраивают на моем веб-сайте. Я, конечно, храню их данные для входа в таблице db, и эта таблица открывается, когда они заполняют форму входа. Это всего лишь собственная система, которую я создал. Когда пользователи регистрируются, они могут видеть список документов, которые хранятся в папке на моем веб-сайте. Если […]

Можете ли вы использовать построитель запросов для построения запроса с динамическим предложением WHERE во время выполнения в laravel?

Поэтому я знаю, что если я построю динамическую строку SQL, я могу сделать что-то вроде следующего $SQL = "SELECT * FROM " . $table; $first = 1; foreach($items as $key => $val) { if($first) $SQL .= " WHERE "; else $SQL .= " AND "; $SQL .= $key . " LIKE " . $VAL; $first […]

Каковы риски безопасности, позволяющие всем символам URL-адреса веб-сайта?

Я использую фреймворк Codeigniter PHP. В одном из файлов конфигурации вы можете установить допустимые URL-адреса: $config['permitted_uri_chars'] = 'az 0-9~%.:_\-'; Поэтому, если я попытаюсь перейти к этому URL-адресу: website.com/controller/%22quotedString%22 , я получу ошибку, если я не добавлю цитату разрешенным символам: $config['permitted_uri_chars'] .= '"'; Моему приложению действительно нужно разрешить все странные символы в URL-адресе, но я не […]

Включить Captcha после нескольких попыток входа в систему – Как это реализовать?

Я работаю над системой auth с ошибкой входа. Если пользователь не может войти в систему, число попыток в базе данных увеличивается и, если достигается определенный предел, PHP устанавливает переменную skcha сеанса в значение true. Поэтому, когда пользователь (или спам-бот) снова получает страницу входа в систему, отображается форма отслеживания за счет переменной сеанса Но поскольку спам-боты […]