Все, У меня есть PHP-сайт, написанный в Zend Framework и MVC. Большинство действий контроллера проверяют, является ли запрос Ajax-запросом или нет, иначе они перенаправляют пользователя на домашнюю страницу. Я думаю о различных способах разрыва этого сайта. Я рассматриваю следующий сценарий: Пользователь создает свой собственный проект PHP на своей локальной машине. Пользователь записывает запрос на отправку […]
У меня есть 2 страницы на веб-сайте, одна из них – index.php и индексная страница список всех сообщений, которые существуют в базе данных, а другая страница – post.php и post page display single post при нажатии на определенное сообщение на индексной странице. Теперь код, который я использовал для перечисления всех сообщений в index.php: $postslist = […]
У меня есть сайт Joomla 1.0, работающий на общем хосте, у которого нет доступа к оболочке (доступен только FTP). Недавно мой сайт был помечен Google как вредоносный сайт, и я уведомляю, что файл .htaccess модифицирован вредоносным содержимым. Это правило перенаправления на веб-сайт под названием «depositpeter.ru» добавляется в .htaccess: ErrorDocument 400 http://depositpeter.ru/mnp/index.php ErrorDocument 401 http://depositpeter.ru/mnp/index.php … […]
Вот сценарий: у меня есть некоторые веб-службы (JAX-WS), которые необходимо защитить. В настоящее время для проверки подлинности я предоставляю дополнение SecurityWService, которое дает авторизованному пользователю некоторый идентификатор пользователя и sessionid, который должен быть описан в запросе другим службам. Было бы лучше использовать некоторую защиту Java. У нас их много, но они не могли определить, что […]
Я работаю в личном проекте и, кроме того, используя подготовленные заявления, я хотел бы использовать каждый вход в качестве угрозы. Для этого я сделал простую функцию. function clean($input){ if (is_array($input)){ foreach ($input as $key => $val){ $output[$key] = clean($val); } }else{ $output = (string) $input; if (get_magic_quotes_gpc()){ $output = stripslashes($output); } $output = htmlentities($output, ENT_QUOTES, […]
Я создал избирателя, где мне нужно вызвать is_granted для пользователя. Когда я ввожу услугу security.authorization_checker у своего избирателя, я получаю следующую ошибку ServiceCircularReferenceException в CheckCircularReferencesPass.php строка 69: обнаружена циклическая ссылка для службы «manager_voter», путь: «manager_voter -> security.authorization_checker -> security.access.decision_manager -> manager_voter». Нет ли альтернативы инъекции всего контейнера? Это нормально? РЕДАКТИРОВАТЬ: Я звоню избирателю от контроллера: […]
Поэтому я изучал всю эту вещь PDO, и я читал этот учебник по блогам, когда сталкивался с этим кодом, и объяснение заключалось в том, что если я использую PDO с привязкой данных, пользователи не смогут добавлять SQL-инъекции. Как это работает? # no placeholders – созрел для SQL Injection! $ STH = $ DBH -> ("INSERT […]
Почему сгенерированный токен защиты CSRF не сохраняется и используется через SESSION, как предлагается здесь ? В настоящее время в CI2 механизм защиты CSRF (в классе безопасности) таков: 1.генерировать уникальное значение для токена CSRF в функции _csrf_set_hash (): $this->csrf_hash = md5(uniqid(rand(), TRUE)); 2. Вставьте этот токен в скрытое поле формы (с помощью form_open helper) 3. Пользователь […]
Я использую PDO в php и поэтому не могу избежать имен таблиц или имен столбцов, используя подготовленные операторы. Будет ли это безошибочным способом реализовать его самостоятельно: $tn = str_replace('`', '', $_REQUEST['tn']); $column = str_replace('`', '', $_REQUEST['column']); $sql = "SELECT * FROM `tn ` WHERE `column` = 23"; print_r( $pdo->query($sql)->fetchAll() ); Или есть еще какой-то способ, […]
Рассмотрим сценарий, в котором пользовательская идентификация (имя пользователя и пароль) вводится пользователем в элементе формы страницы, который затем отправляется. Данные POST отправляются через HTTPS на новую страницу (где php-код проверяет учетные данные). Теперь, если хакер сидит в сети и говорит, что имеет доступ ко всему трафику, достаточно ли в этом случае защита уровня приложения (HTTPS)? […]