Domande con tag 'php'

domande con tag
2
risposte

È strip_tags () orribilmente pericoloso?

Uso sempre strip_tags per prevenire gli attacchi XSS, ma oggi ho visto un post che diceva che era orribilmente pericoloso. Come dice il manuale, non controlla l'HTML malformato! È vero? Che cosa posso fare per prevenire XSS?     
posta 23.12.2011 - 16:03
1
risposta

PHP loadXML è vulnerabile all'attacco XXE (e ad altri attacchi)? Esiste un elenco di funzioni vulnerabili?

Ho codice PHP che usa la funzione loadXML (così come altre funzioni XML). La funzione loadXML è vulnerabile all'attacco XXE? Vale a dire, se l'XML contiene entità esterne, saranno interpretate? Questa funzione è vulnerabile ad altri att...
posta 15.08.2016 - 11:05
4
risposte

Funzioni PHP per prevenire XSS

Esiste una libreria comprovata con funzioni per prevenire gli attacchi XSS? Molte persone non si rendono conto che htmlspecialchars non è sufficiente per prevenire gli attacchi XSS. Esistono vari contesti che necessitano di una propria esca...
posta 09.11.2011 - 22:36
1
risposta

Determinazione degli script PHP httpd con Auditd

Sfondo Ho un problema sul mio server in cui un po 'di buchi sta permettendo di scrivere file PHP dannosi su qualsiasi directory scrivibile in tutto il mondo al di sotto della web root. Al momento non provoca alcun danno, perché ho bloccato...
posta 30.11.2016 - 18:41
6
risposte

Perché php non viene utilizzato per i siti bancari o per una transazione bancaria?

Altri linguaggi di programmazione popolari sul Web, come Java e .NET, sono utilizzati per i siti bancari. Tuttavia, ho raramente (se mai) visto un'applicazione PHP progettata per essere implementata per un sito bancario. Perché è questo? Cosa...
posta 01.09.2012 - 16:48
5
risposte

Cifratura degli indirizzi IP in un database MySQL

Vorrei crittografare gli indirizzi IP nel mio database MySQL, con i seguenti vincoli: Non ha bisogno di essere resistente agli aggressori che possono eseguire interrogazioni. Deve essere resistente agli aggressori che hanno accesso ai file...
posta 20.04.2012 - 18:02
3
risposte

Sfruttare un server PHP con un caricamento di file .jpg

Vorrei porre una domanda riguardante il classico caricamento di un'immagine e l'esecuzione di exploit di codice php su un sito Web. Quindi ho provato questo exploit su un sito Web che dovrei hackerare (è stato creato per noi per tentare di ha...
posta 27.01.2016 - 19:50
1
risposta

Indovinare la versione e le informazioni PHP da phpinfo usando l'analisi della scatola nera

Introduzione Attualmente sto sperimentando l'analisi della scatola nera PHP e non sono riuscito a trovare alcuna informazione utile. Ci sono alcuni approcci su come determinare, ad es. La versione di Apache, ma per PHP sembra che internet c...
posta 10.05.2017 - 21:32
3
risposte

Come dimostrare l'iniezione SQL?

Ho delle linee nel mio codice PHP / MySQL che assomigliano a questo: ... $sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id']; ... ... query is executed ... echo $price; Come test / dimostrazione, come posso sovvertire qu...
posta 01.03.2011 - 15:21
3
risposte

ha scrostato resistito alla prova del tempo?

Ho sempre sentito che scrypt è stato migliore di bcrpyt ... a causa della memoria che causava GPU un momento molto difficile da decifrare. Tuttavia, il concetto era sempre che scrypt non era stato testato, era una specie di nuovo metodo di...
posta 26.09.2013 - 02:07