Я пытаюсь написать сценарий для сброса пароля, у меня есть ввод токена в базу данных и проверка наличия токена в базе данных и той части, где я собираюсь сбросить базу данных. Но по какой-то причине он обновляет базу данных, где нет токенов. Я не уверен, почему …. Я очень новичок в кодировании, надеюсь, что мой […]
Много информации внутри! Я знаю, что в этой проблеме много разных тем, но ответы на них не отвечают должным образом, а собственные уроки и ссылки Stripe намного лучше. так что, надеюсь, я (и другие) может окончательно увидеть свет в этой долговечной проблеме для нас, разработчиков хобби. Я пытаюсь реализовать API-интерфейс Stripe уже более 2-х недель, […]
Ниже приведен фрагмент javascript, который я использую как часть сценария AJAX. Как предотвратить прямой доступ пользователя user_back_end_friends.php? Я не хочу, чтобы люди могли перейти на сайт domain.com/user_back_end_friends.php и посмотреть список друзей. Код Javascript: <script type="text/javascript"> $(document).ready(function() { $("#user_friends").tokenInput("/user_back_end_friends.php", { theme: "sometheme", userid: "<?php echo $id; ?>" }); }); </script> Это то, что я нашел, но […]
Что такое паршивый токен в PHP? Я читал руководство по кодированию PHP, в котором говорилось следующее … «Всегда используйте одиночные кавычки, если вам не нужны анализируемые переменные, и в тех случаях, когда вам нужны анализируемые переменные, используйте фигурные скобки для предотвращения жадного парсинга . Вы также можете использовать строки с двумя кавычками, если строка содержит […]
Я много искал, пытаясь найти что-то для своей цели, однако большинство решений вращаются вокруг токенов CSRF, которые работают вместе с данными сеанса. Для моей цели требуется токен, основанный на времени, для межсерверной связи. У меня есть Server A который должен получать и проверять токен, который отправляется ему через POST с Server B Маркер должен быть […]
Я использую этот код, чтобы получить токен из Web-API Spotify: <?php $url = 'https://accounts.spotify.com/api/token'; $method = 'POST'; $credentials = "{Client ID}:{Client Secret}"; $headers = array( "Accept: */*", "Content-Type: application/x-www-form-urlencoded", "User-Agent: runscope/0.1", "Authorization: Basic " . base64_encode($credentials)); $data = 'grant_type=client_credentials'; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HTTPHEADER, $headers); curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, $data); $response […]
Чтобы создать 32-символьный токен для доступа к нашему API, мы в настоящее время используем: $token = md5(uniqid(mt_rand(), true)); Я прочитал, что этот метод не криптографически безопасен, поскольку он основан на системных часах, и что openssl_random_pseudo_bytes будет лучшим решением, поскольку его было бы сложнее предсказать. Если это так, каков будет эквивалентный код? Я предполагаю что-то подобное, […]
Из того, что я узнал до сих пор, цель жетонов состоит в том, чтобы предотвратить нападение злоумышленника на подачу формы. Например, если на веб-сайте была форма, в которую вводились добавленные элементы в корзину, а злоумышленник мог бы спамить вашу корзину покупок, которые вам не нужны. Это имеет смысл, потому что может быть несколько допустимых входных […]
Недавно я узнал о атаках CSRF и был рад узнать, что защита CSRF была добавлена в Codeigniter v 2.0.0. Я включил эту функцию и увидел, что в формах добавлен скрытый ввод с токеном, и я предполагаю, что он хранит токен в сеансе. В запросах POST CI автоматически сравнивает токены или мне приходится вручную это делать?