Domande con tag 'php'

domande con tag
3
risposte

Permettere agli utenti di inserire un sottoinsieme sicuro di HTML

Recentemente ho postato questa domanda su Code Review e mi è stato raccomandato di chiederlo a voi ragazzi. Fondamentalmente, questo sarà usato per consentire agli utenti di generare contenuti formattati. Viene inserito all'interno di tag H...
posta 16.06.2014 - 08:36
6
risposte

Prevenzione dell'iniezione SQL più veloce

Mi sono guardato intorno ovunque e non riesco a trovare la risposta alla mia domanda. Sto usando il più recente PHP per scripting lato server e MySQL per il mio database. Il set di caratteri è utf8mb4 se questo fa la differenza. Fino...
posta 31.08.2014 - 21:42
6
risposte

Revisione sicurezza: "L'user-agent dell'intestazione HTTP è stato impostato su (qualcosa)"

Abbiamo ottenuto una revisione della sicurezza del nostro codice PHP e il team lo ha consigliato nel suo rapporto (tra le altre cose): /appdir/ Details The HTTP header user-agent has been set to \" . Request GET /appdir/ HTTP/1.0 Accept:...
posta 22.12.2010 - 15:37
2
risposte

Il bcrypt confronta gli hash in tempo "lunghezza costante"?

Ho visto questa funzione slowEquals() durante la lettura di Hash delle password salate - Eseguendo correttamente , che utilizza un livello di byte Confronto xor per evitare attacchi temporali. Mi stavo chiedendo se questo è ciò che fa anch...
posta 29.11.2013 - 08:44
4
risposte

Come posso essere sicuro con un sale globale?

Se ho compreso le nozioni fondamentali sull'hash e sull'archiviazione delle password, ciò di cui abbiamo bisogno sono: un "strong" sale un "vero" sale casuale un unico salt per password una funzione hashing password con un ele...
posta 07.10.2013 - 16:33
1
risposta

PHP crypt () taglia il sale come sarebbe troppo lungo

Sto usando Blowfish con PHP crypt () per l'hashing delle password ma ho notato qualcosa di strano. Citando la documentazione PHP: CRYPT_BLOWFISH - Blowfish hashing with a salt as follows: "$2a$", "$2x$" or "$2y$", a two digit cost paramet...
posta 30.09.2012 - 15:48
4
risposte

Un modo ragionevole per archiviare password crittografate nel database di una webapp, Linux

Questa domanda è generalmente simile alle domande passate qui poste, ma non ne ho visto una relativa a Linux. Caso in mano: un'app Web PHP ha un backend MySQL. Come parte della sua funzionalità, accede ad altri host remoti di MySQL ed emette...
posta 13.01.2014 - 16:35
1
risposta

Come proteggere correttamente un $ _GET in PHP?

Ho trovato un SQLi in un sito di lavoro per amici. Lo ha segnalato ai suoi superiori e mi hanno permesso di eseguire test aggiuntivi e anche di applicare patch al sito. Dopo aver esaminato il sito, il codice vulnerabile era $ _GET. Ho sempliceme...
posta 02.08.2012 - 16:02
1
risposta

Quanto è vulnerabile il collegamento dell'app Android all'API PHP con query pre-scritte

Ho creato un'API PHP che interroga i dati di alcune tabelle in un database SQL online. Le credenziali con cui si connette al database vengono salvate in un altro file e caricate all'avvio. L'utente con quelle credenziali ha solo SELECTilegiledge...
posta 24.12.2017 - 18:12
2
risposte

"Dichiarazione ufficiale" su php.net: CRYPT_BLOWFISH è l'algoritmo hash più potente. Perché?

Primo: ho fatto questa domanda su StackOverflow e sono stato gentilmente invitato a postare di nuovo questo qui. Leggi la domanda originale qui . Secondo le [prime] pagine del documento della nuova API di hashing / crittografia della passw...
posta 25.05.2013 - 21:14