Я создаю сайт Drupal с большим количеством пользовательской информации, которая будет опубликована с помощью jQuery / ajax. Информация, которая сама по себе не очень чувствительна, просто важно убедиться, что данные формы не были подделаны такими инструментами, как Firebug, а также гарантируют, что информация действительно запрашивается у указанного пользователя. Другими словами, я пытаюсь найти лучший способ […]
У меня есть простой веб-API, доступный через HTTP, с некоторыми соответствующими мобильными приложениями, читающими эти данные. Теперь кто-то декомпилировал приложение / понюхал HTTP-трафик, получил URL-адрес моего веб-API и создал своего собственного клиента, действующего как один из моих. Как я могу защитить доступ к моему API только для своих собственных клиентов? Даже с мыслью о том, […]
Если у вас уже есть дизайн веб-сайта и вы хотите просто использовать модули Zend Framework (в основном, для обеспечения безопасности и производительности ), как вы собираетесь изучать Zend для быстрого веб-разработки ?
Я использую UNLINK с PHP и AJAX . Я знаю, что таким образом очень опасно, потому что каждый может удалить любые файлы. Но мне нужно использовать AJAX потому что я не могу перезагрузить страницу при удалении файлов. Итак, как мне сделать, чтобы удалить файл только для пользователя, который его владеет? Пожалуйста, дайте мне знать и […]
Я использую Zend_Auth с setCredentialTreatment для установки метода хэша и соли. Я вижу, что все примеры делают что-то вроде этого, где salt кажется вставленной в виде текста. -> setCredentialTreatment ( 'SHA1 (CONCAT (соль))? но моя соль хранится в базе данных. Я мог бы получить его сначала, а затем использовать его в setCredentialTreatment но есть ли […]
Тестирование веб-приложения, я могу загрузить файлы GIF / Jpeg, и я знаю, что существует возможная угроза при правильном использовании кода PHP в этом GIF / Jpeg (поскольку он модифицируется с использованием imagecreatetruecolor и imagejpeg ). Я искал существующий файл GIF, содержащий простой PHP-код (например, phpinfo или echo «hello world»), чтобы подтвердить, что угроза была конкретной. […]
У меня есть следующая форма, которую пользователи заполняют: <form name="form" action="" method="POST"> <table width="100%" border="0" cellpadding="2" cellspacing="2"> <tr> <td width="25%" ><div align="right"><strong>Name:</strong></div></td> <td width="75%" ><span id="sprytextfield1"> <input id="Cname"name="Name" type="text" placeholder="Please fill in your name"> <span class="textfieldRequiredMsg">A value is required.</span></span></td> </tr> <tr> <td><div align="right"><strong>Email:</strong></div></td> <td><span id="sprytextfield2"> <input id="Cemail"name="email" type="text" placeholder="eg sales@company.co.uk"> <span class="textfieldRequiredMsg">A value is required.</span><span […]
Я пытаюсь получить параметры access_control, которые находятся в моем security.yml как массив в моей настраиваемой службе. Как и при получении параметров role_hierarchy, я думал, что это будет работать со следующим кодом: $accessParameters = $this->container->getParameter('security.access_control'); К сожалению, это было не так. Может кто-нибудь сказать, как получить параметры?
Какой лучший способ гарантировать, что только CRON выполняет PHP-скрипты, а не кто-то другой, кто наткнулся на ваши php-скрипты. Я думал о пароле Variable …. но это законная команда CRON? : /usr/local/bin/php -f /home/mysite/public_html/dir/script?password=12345 Таким образом, люди не могут выполнять одни и те же команды при посещении скрипта PHP через HTTP (если только они не знают […]
Как бы я глобально защитил все мои контроллеры (кроме моего контроллера входа), чтобы обеспечить мое приложение безопасным во всех точках (без скрытого бэкдора на вызовы ajax и т. Д.). Я думал, что могу поместить его в свой файл начальной загрузки, но это не так? Я пытаюсь не добавлять код к каждому контроллеру. Предложения?