Articles of sicurezza

Imansible connettersi tramite HTTPS e cURL in PHP

Sto cercando di connettermi a un'API utilizzando cURL e https e non riesco a farlo funzionare. Funziona perfettamente con http ma quando lo cambio in https nella variabile $url , ci vogliono più di 30 secondi per l'esecuzione e infine mostra false come risultato. Questa è la function: $url = 'https://api.xxxxxxx.com/api.php?user=xxxx&pass=xxxx'; $ch = curl_init($url); curl_setopt($ch, […]

$ _SERVER vulnerabilità non "funzionante"?

Sta guardando un vecchio codice di un cliente, sta usando <form action="<?php echo $_SERVER['PHP_SELF']; ?>" /> Mi chiedevo se fosse sobject all'XSS, ma quando provo: form.php"><script>alert('xss');</script> => 404 NOT FOUND di Apache form.php/"><script>alert('xss');</script> => 404 Dalla mia app Devo specificare che uso anche? Action = specific_page nell'url per il suo uso normale. Significa che non […]

prevenire l'accesso diretto a un inclusivo di php

Ho uno script php PayPal eStores / dl_paycart ma ha vulnerabilità di bypass di sicurezza di PayPal eStores "settings.php" Vorrei sapere se posso impedire l'accesso diretto a un file di inclusione di PHP. Questo sarebbe d'aiuto? defined( '_paycart' ) or die( 'Access to this directory is not permitted' ); Grazie

Qual è una buona opzione per l'elaborazione bidirezionale della password?

Ho in programma di utilizzare la class di crittografia di Kohana ma esiste un modo migliore e più sicuro di eseguire un'elaborazione a due vie? Voglio che i miei utenti siano in grado di submit richieste per le loro password precedenti, senza dargli un reset. Qualche algorithm o libreria che puoi suggerire? in particolare in […]

Symfony Security Authentication

Perché nel mio pannello di debug vedo "Non sei autenticato". questo ho un printcreen e questo voglio printcreen io uso symfony_book e se ho casa tutto funziona bene MA: Nella mia variante, l'utente autentica in UN ALTRO SITO e il mio sito ho dati utente per i methods GET – EMAIL, SECRET KEY E REFERENCE […]

Sono sufficienti questi passaggi per proteggere un sito?

Sto per avviare il mio sito Web e la sicurezza è importnte, quindi ho voluto delineare ciò che ho fatto per proteggere il sito. Per favore correggimi se sbaglio e se ho bisogno di qualcos'altro: Per connettersi al nostro server, ho triggersto un'authentication a due fattori tramite VPN. Il sito utilizza SSL I dati vengono […]

Come proteggere la cartella di amministrazione php

Sto cercando di trovare un modo per proteggere l'area di amministrazione, in particolare la cartella stessa dall'accesso esterno (che include cartelle con immagini e css). Ho letto un sacco di suggerimenti, ma tutti si sentono piuttosto un compromesso o un metodo di prova a prova di proiettile o non capisco quale sia il migliore per […]

Strip_tags o mysql_real_escape_string o add_magic_quotes in php

sto leggendo sulla sicurezza dei php in questi giorni e ho le vertigini, per favore spiegami chiaro! so che dovrei usare strip_tags() o htmlentities() per gli attacchi XSS. ma se ho bisogno di alcuni tag html, come blog, cosa dovrei fare !? ma where dovrei usare mysql_real_escape_string() e add_magic_quotes() ? sono questi stessi? un'altra domanda […]

Memorizzazione di immagini / dati in MySQL e convenzioni di denominazione

Quali sono alcune idee là fuori per la memorizzazione di immagini sui server web. Interagire con PHP e MySQL per l'applicazione. Domanda 1 Cambiamo il nome del file fisico in a000000001.jpg e lo memorizziamo in una directory di base o mantieni il nome del file non gestito dell'utente, ad esempio 'Justin Beiber Found dead.jpg'? Per […]

come faccio a sapere se un file esiste nell'tree delle directory corrente

Voglio verificare se il path di un file si trova nella struttura attuale della directory. Supponiamo che il parametro sia dato come js/script.js . La mia directory di lavoro (WD) è /home/user1/public_html/site Ora per WD attuale se qualcuno fornisce js/script.js posso semplicemente controllarlo aggiungendo al WD. Funziona per un path così normale. Ma se qualcuno […]