Domande con tag 'php'

domande con tag
2
risposte

Dovrei usare urandom () o openssl_random_pseudo_bytes ()?

Sto sviluppando un sito in PHP 5.4. Quale funzione è meglio usare per generare un salt casuale per la sicurezza della password? $salt = sha1(openssl_random_pseudo_bytes(23)); o $seed = ''; $a = @fopen('/dev/urandom','rb'); $seed .= @fread...
posta 30.12.2012 - 09:51
1
risposta

bypass XSS strtoupper e htmlspecialchars

Ho esaminato un po 'di pentesting ma il seguente mi sfugge, penso di averlo capito ma non riesco a farlo scattare! Cercando di ignorare quanto segue: $strippedID = htmlspecialchars($ID); $NEWID = strtoupper($strippedID); ... echo "Tag ID: &...
posta 19.12.2016 - 06:25
4
risposte

Come estrarre in modo sicuro uno zip caricato?

Sto lavorando a un progetto per un cliente in cui desiderano che i loro utenti caricino un file ZIP che può essere estratto. Una volta estratto, utilizzeremmo determinati file, come immagini e file HTML. È chiaro che si tratta di un enorme ri...
posta 24.11.2016 - 14:38
3
risposte

Ci può essere un modo per sfruttare PHP include_once () quando l'input viene filtrato?

Supponiamo che ci sia questo codice per includere altri file php dall'input dell'utente (sì, so che è una cattiva scelta): $input = addslashes($_GET["input"]); if (strpos($input, '../') === false) { include_once('/path/to/php/files/'.$inp...
posta 04.11.2018 - 09:55
4
risposte

Quali caratteristiche di sicurezza dovrebbe avere un framework PHP?

Quali caratteristiche di sicurezza ti piacerebbe trovare o aspettarti da un framework PHP? Ho un framework PHP che ho sviluppato che sto per essere rilasciato come progetto open source, ma voglio assicurarmi che abbia caratteristiche di sicurezz...
posta 13.09.2011 - 00:25
2
risposte

Permessi daemon e Webroot HTTP

Abbiamo uno sviluppatore web con contratto che utilizza script di distribuzione per aggiornare e distribuire siti Web. Per farli funzionare, richiedono l'accesso in scrittura all'intero webroot tramite l'utente httpd. Ho provato a convincerli...
posta 01.08.2012 - 00:30
1
risposta

Implementazione di un link di autologin in un'email [duplicate]

Quindi sto lavorando su un'applicazione PHP chiamata Magento e mi piacerebbe implementare un link che verrà inviato in un'email ai clienti che lo registreranno automaticamente. So che è fondamentale in termini di sicurezza, quindi ecco co...
posta 12.07.2016 - 13:54
2
risposte

La funzione eval () di PHP è vulnerabile all'iniezione di codice quando si esegue una stringa creata da un array?

Sto cercando di saperne di più sullo sfruttamento di eval () di PHP e mi sono imbattuto in questo scenario: <?php $test = array(); $test[0] = "command0 "; $test[1] = $_GET["cmd1"]; $test[2] = "command2 "; $test[3] = "command3 "; $params =...
posta 10.01.2018 - 04:16
2
risposte

Come può qualcuno caricare un file PHP su un server senza un modulo di caricamento?

Mi è stato affidato un sito web esistente per il quale dovrei apportare alcune modifiche alla parte di progettazione, ma quando stavo per accedervi, ho visto che è stato compromesso. Quando stavo cercando il problema, ho trovato un file PHP di e...
posta 02.06.2016 - 09:26
2
risposte

Problemi di sicurezza con il sistema di pagamento anticipato

Sto cercando di creare un sistema di pagamento anticipato per l'industria alimentare al dettaglio. I rivenditori saranno in grado di generare codici casuali a 10 cifre e fornirli ai clienti per accedere a un'app per ottenere il valore assegnato...
posta 26.10.2012 - 07:45