У меня проблема с чтением файла cookie. Отладка показала, что Security :: cipher () на сервере как-то сломается. В любом случае я могу это решить? Ниже приведена разбивка. Код $value = "Hello World"; $key = Configure::read('Security.salt'); $val = Security::cipher($value, $key); debug($val); $ret = Security::cipher($val, $key); debug($ret); Местный app\views\pages\home.ctp (line 17) J WtJ0 app\views\pages\home.ctp (line 19) […]
Я пытаюсь найти безопасный способ сделать следующее: Пользователи вводят значение в html-форму. Форма отправляется. PHP использует представленное значение в качестве аргумента для функции «scandir». Моя теория включает логику в сценарии php, которая запрещает абсолютные пути и требует, чтобы имя каталога включало определенное значение. Меня беспокоит, что хакер может использовать мою форму, чтобы представить свою собственную […]
Я добавил простой редактор wysiwyg на моем сайте. (он позволяет только B / I / U – не более) В настоящее время я сохраняю весь контент как html в своей базе данных – но atm просто добавить <a onclick='…'> или другой вредоносный код) Как лучше всего в PHP правильно разбирать вход? Как реализовать <b></b> <i></i> […]
Иногда я просматриваю свои журналы MySQL, и я натыкаюсь на некоторые запросы AES_ENCRYPT / AES_DECRYPT, показывающие пароль в виде открытого текста. Если я создам журналы внутри PHP, я смогу их удалить . Но как насчет обычных / медленных журналов запросов MySQL . Является ли их вариант доступным или можно установить переменную mySQL, которая не будет […]
В приложении CMS мне иногда нужно открыть iframe другого домена. На данный момент я устанавливаю URL для этого iframe в нечто очень неясное. Как http://domain.com/iframe/jhghjg34787386/ . Это работает, но теоретически, что URL-адрес источника iframe будет сохранен в истории пользователя и может быть доступен из внешнего мира. Поэтому мне интересно использовать временный подход к постоянно меняющемуся […]
Я пытаюсь закрепить некоторые из своих PHP-кода и использовать подготовленные инструкции mysqli для лучшей проверки ввода пользователя и предотвращения инъекционных атак. Я перешел от mysqli_real_escape_string, так как он не убегает% и _ . Однако, когда я создаю свой запрос в качестве подготовленного оператора mysqli, тот же недостаток все еще присутствует. Запрос вытаскивает значение соты пользователей […]
Symfony реализует функции регистрации пользователей и уничтожения файлов cookie. Существует LogoutListener который делегирует эти действия нескольким обработчикам выхода: CookieClearingLogoutHandler и SessionLogoutHandler . Если мы хотим вручную вывести пользователя из приложения, я считаю, что лучшим способом было бы назвать эти обработчики, а не реализовывать (дублировать) такую низкоуровневую логику самостоятельно. Можно ли это сделать?
Я создаю небольшую веб-страницу с использованием PHP, которая будет доступна как IFRAME из нескольких сайтов. Я хочу ограничить доступ к этому сайту, чтобы работать ТОЛЬКО на «одобренных» сайтах, а не на других сайтах или напрямую обращаться. У кого-нибудь есть предложения? Возможно ли это? PHP-сайт будет Apache, а сайты iframing контента, вероятно, будут .NET. Чтобы уточнить, […]
Есть ли какое-либо преимущество для sha1(sha1(sha1($password. $salt))); В основном, имея несколько стихов sha1 только один sha1 sha1($password. $salt);
Поэтому я довольно параноик и использую mysql_real_escape_string() с PDO. На самом деле я не использую подготовленные заявления в PDO, поэтому мне приходится санировать данные. При размещении на моем собственном сервере я создавал бы непривилегированного пользователя на локальном компьютере, поэтому mysql_real_escape_string() не выйдет из строя и не mysql_real_escape_string() мою переменную (хе-хе, теперь это санитация!). Я понимаю, […]