security
-
是否有可能用已知的盐攻击用户密码 我被告知电子邮件是一种坏盐,因为它不是唯一的,并且与用户相关联。如果用户在2个站点上使用相同的密码,则将有相等的哈希值。 那么,它有什么问题呢?什么是攻击场景?假设我们既有
-
加密:使用初始化向量与密钥? 我正在使用PHP的库和(rijndael)算法,它需要一个键+初始化向量来运行。 我的逻辑大脑并没有真正同意这一点。难道一把钥匙还不够吗? 理论场景:如果我加密了存储在数据库中的敏感数据,
-
密码加密 ,将密码存储在会话中 我需要存储密码并再次使用它。我认为这根本不安全。 场景: 我想创建一个网络邮件程序,用户使用用户名和密码登录,然后检查他们的电子邮件。此工具不打算在 db 上存储密码。但是在PHP
-
PHP的password_verify()对超长密码(DoS攻击)是否安全? 一般攻击场景: 在2013年,Django有一个普遍的漏洞,因为攻击者可以通过非常大的密码创建非常密集的CPU计算[不限制参数。 问题: password_verify()(以及同一函数集的其他函数)是否通过最
-
与多个选项卡的 CSRF 令牌冲突 我在我的应用程序中构建了CSRF保护,只需在每次页面加载时生成一个随机令牌,将其放入会话中,然后将令牌绑定到tag属性,如下所示: 然后,在每个表单操作或ajax请求上,我只需从body标签
-
内容数据库 - 可以存储 HTML 吗? 基本问题是 - 如果我限制谁可以提交HTML,那么将HTML存储在数据库中是否安全? 我有一个非常简单的问题。我提供视频教程和其他内容。在不花几个月时间编写适当的BBCode解析器的情况下,我需
-
SQL注入检测 - 已编译正则表达式...寻找测试注射 在周末,我编制了一个正则表达式列表,以检查GET,POST和COOKIE超级全局变量中的sql注入。从各方面来看,它们在检测是否找到sql注入方面都非常有效。我已经运行了很多在各种sql注入文档上看到
-
PHP在2017年获得真实用户IP地址的最准确/最安全的方式 通过PHP获取2017年用户IP地址的最准确方法是什么? 我已经阅读了很多关于它的SO问题和答案,但大多数答案都是旧的,并且用户评论说这些方式是不安全的。 例如,看看这个问题(2011): 蒂
-
-
标签