Я создаю веб-сайт, который до сих пор является чистым PHP. Я думал, что, поскольку у очень немногих людей нет включенного JavaScript (что мне интересно, почему!), Возможно, я должен создать свой сайт как полностью PHP-сайт без AJAX. Думаю ли я неправильно? Чтобы быть уверенным, что если я внедрю AJAX, это увеличит риск нарушения моего сайта? Должен […]
Читая документацию Laravel, я вижу следующее: Note: The Laravel query builder uses PDO parameter binding throughout to protect your application against SQL injection attacks. There is no need to clean strings being passed as bindings. Используется ли это, если я обрабатываю запросы только следующим образом? DB::query("SELECT * from table WHERE id like " . $id);
Привет. Есть ли проблемы с безопасностью, о которых я должен беспокоиться при использовании метода readfile в PHP? Я хотел бы использовать метод readfile, который принимает URL-адрес файла, хранящегося на разных сторонних серверах. Затем я обслуживаю файл для пользователя. Интуитивно, казалось бы, существует риск того, что URL-адрес может указывать на любой файл. С другой стороны, я […]
На crackstation.net сказано: Проверка пароля Извлеките соль пользователя и хэш из базы данных. Подготовьте соль к данному паролю и используйте его с помощью той же функции хэш-функции. Сравните хэш данного пароля с хешем из базы данных. Если они совпадают, пароль правильный. В противном случае Неверный пароль. Однако в исходном коде, указанном в нижней части страницы, […]
Мне интересно, безопасный ли способ обработки информации о кредитной карте. Сайт использует PHP и IS, используя SSL Certifacate, но вместо отправки формы и получения переменных $ _POST. Я хочу попытаться использовать JQUERY AJAX и общаться с пользователем, если их информация была одобрена или нет. Но я беспокоюсь о том, безопасен ли этот метод. И пример […]
Потерпите меня, я только изучаю PHP всего несколько недель, поэтому пример кода может смутить меня. Я думаю, что, наконец, понимаю соление! Это защита паролей внутри базы данных, если она нарушена. Я не понимаю, почему хакер должен взломать хэши, если они пытаются определить пароль пользователя (если это их цель)? Разве это не будет проще? Единственная защита […]
Я попытался настроить простую защищенную область администратора, настроив ее на secury.yml. Я использовал пример Symfony: security: firewalls: secured_area: pattern: ^/ anonymous: ~ http_basic: realm: "Secured Admin Area" access_control: – { path: ^/admin, roles: ROLE_ADMIN } providers: in_memory: users: ryan: { password: ryanpass, roles: 'ROLE_USER' } admin: { password: kitten, roles: 'ROLE_ADMIN' } encoders: Symfony\Component\Security\Core\User\User: plaintext […]
У меня есть веб-сайт, посвященный развлечениям. Итак, я решил использовать новый метод для предотвращения атаки XSS. Я создал следующий список слов alert(, javascript, <script>,<script,vbscript,<layer>, <layer,scriptalert,HTTP-EQUIV,mocha:,<object>,<object, AllowScriptAccess,text/javascript,<link>, <link,<?php, <?import, Я думал, что, поскольку мой сайт связан с развлечениями, поэтому я не ожидаю от обычного пользователя (кроме вредоносного пользователя) использовать такие слова в своем комментарии. Итак, я […]
Существуют ли какие-либо возможные способы, с помощью которых вредоносный пользователь в веб-приложении может манипулировать вводом, который отправляется передним интерфейсом веб-приложения (конечно, не говоря о ДАННЫХ ФОРМЫ), но запросы, которые отправляются, например, когда я разрешаю ему редактировать свой профиль или его контент, он может манипулировать идентификаторами (userId или contentId), чтобы он мог злонамеренно делать зло с […]
Я знаю, что мне нужно хранить мою регистрационную информацию за пределами моего веб-корня, если Apache взломан, но я не уверен, что такое «мой root», где хранятся мои данные для входа и как обращаться к ним с PHP. Может ли кто-нибудь объяснить?