Articles of security

Предотвращение сценариев на стороне сервера, XSS

Существуют ли какие-либо готовые сценарии, которые я могу использовать для PHP / MySQL для предотвращения серверных сценариев и инъекций JS? Я знаю о типичных функциях, таких как htmlentities, специальные символы, замену строк и т. Д., Но есть ли простой бит кода или функция, которая является безотказной для всего? Любые идеи были бы замечательными. Большое спасибо […]

Правильное засоление и использование PHPass

Я использую PHPass для хэширования своих паролей в течение длительного времени. Я признаю, что все еще есть вещи, которые я не совсем понимаю (или игнорирую), чтобы правильно хешировать пароль, поэтому сегодня я просматривал всю информацию, которую я мог найти об этом. Пересматривая документы PHPass, я сделал следующее: Помимо фактического хэширования, phpass прозрачно генерирует случайные соли, […]

Надежно предоставить уникальный секретный код победителю флеш-игры?

Вот что я хочу сделать: когда игрок выигрывает игру (закодированную в flash / actionscript), им предоставляется персональный секретный ключ, который они могут отправлять мне по электронной почте в обмен на приз. Затем я могу проверить ключ на моем конце, используя частный алгоритм. Мне нужно спроектировать его так, чтобы хакеры практически не могли генерировать действительный призовой […]

Как «доказательство несанкционированного доступа» является переменной $ _SERVER в php?

Могу ли я взять большой риск для безопасности, доверяя содержимому массива переменных $ _SERVER, чтобы получить имя файла php с помощью $ _SERVER ['PHP_SELF']?

Является ли шифрование AJAX для проверки подлинности с помощью jQuery?

Я довольно новичок в методологиях AJAX (недавно я недавно открыл jQuery ). Мне интересно узнать, есть ли в этом случае аутентификация пользователя при настройке PHP; надежно. Есть ли у jQuery какие-либо специальные опции, позволяющие использовать HTTPS (или любой другой способ зашифровать мой вызов ajax)? Да, я мог бы просто отправить данные обратно на сервер, но […]

PHP Проверять кодированные изображения base64

Мне нужно найти способ проверки изображения, которое base64 закодировано в PHP. Подтверждаю, что я думаю о XSS и других подобных вещах. Поток: У пользователя есть некоторые параметры, в которых один и больше в базе64 кодируют строку изображения и публикуют их на моем сайте. Когда я получаю параметр fx, называемый img1, с строкой изображения с кодировкой […]

Проблема с XSS Attack и SQL Injection

Я новичок в web security После траты времени на чтение некоторых блогов и сайтов сообщества, таких как SO , я нашел некоторые методы, чтобы быть в безопасности от XSS Attack и SQL Injection Но проблема в том, что большинство вопросов, связанных с безопасностью, очень старые. Итак, мой вопрос: does my following code has any major […]

Ajax и файлы cookie javascript, это безопасно?

Я делаю систему входа в систему Ajax, и мне интересно, безопасно ли это Укажите имя пользователя и пароль с помощью ajax Проверьте сервер входа в систему, если он действителен, верните новый идентификатор сеанса и идентификатор пользователя в строке JSON Получите JSON с javascript, затем создайте файлы cookie сеанса «session_id» и «user_id», Вызовите страницу, на которой […]

Всесторонняя защита от входа пользователя – PHP, MySQL

Возможный дубликат: Каков наилучший метод для дезинфекции пользовательского ввода с помощью PHP? Каковы наилучшие функции деструкции ввода PHP? Конечная чистая / безопасная функция Цель : Правильно дезинфицировать все входы из текстовых полей перед входом в БД, который затем выводится на страницу. Для моего варианта использования мне необходимо предотвратить потенциальные проблемы, не устраняя ввод данных. Кроме […]

Размещение папки приложения PHP над public_html

Я видел в потоке и видел в некоторых рамках, что использование ниже структуры рекомендуется. Может кто-нибудь объяснить, почему, с точки зрения безопасности (если вы можете объяснить это, было бы полезно оценить)? Есть ли другие преимущества этого? корень приложение application_folder конфиг контроллеры модели public_html CSS JS изображений index.php .htaccess РЕДАКТИРОВАТЬ: Имеет ли это эффект, если сервер […]