哇！没有Takers？


PHP是安全的吗？


嗯......也许是。而且我确实说过不要给出一些微不足道的回答，比如


"避免这样做：

展开 | 选择 | 换行 | 行号

嗯，它通常是安全的;但是我没有多少建议你，因为我不知道你的申请将会做什么>

傻n00b，帮助我们来帮助你！


马克（正在开玩笑;）。

好吧，先生，请求我！


我以为你会想象我的代码会是什么样子。


如果我写了一个应用程序执行系统命令和存储的东西（用户登录，密码和一些数据，如年龄，性别）。


假装我粘贴了代码。这一切都在一条线上（开玩笑）


除了消毒变量之外你还能找到什么？


我也可以用另一种方式。你会如何破解PHP网站？


1. SQL注入.........检查

2.因输入错误导致致命错误........ .check（set_error_handler（））

3.扫描网站的所有文件并检查遗留的文件，其他未开发的未链接页面，PHP不会处理的.inc配置文件。

4. ????

5.利润！



Dan（可以分享

I made a bet with a coworker. See if I did good.

Bet:
Try to compromise or otherwise disturb the normal function of an app because of a problem with PHP.

Problems/holes with network and the server are excluded. (ie DoS attack does not count)

The app runs some CLI commands, uploads a file, stores data in MySQL and has an user/access login.

Most of your know my level of expertise with PHP, so skip the mysql_escape_string() talks. :)


1. Sanitize every input and request from the page
2. Encrypt session and store session on server/not in a cookie
3. Block all bad-IPs. (if I see bad input, do not process any request from that IP)
4. ????
5. Win 100 Bucks!

He''ll have 1 week to do it.





Dan

WOW! No Takers?

PHP is that secure?

Well...maybe it is. And I did say to not give trivial responses like

"Avoid doing this:

Expand|Select|Wrap|Line Numbers

Well, it generally is secure; but there''s not much I can advise you on, because I''ve no idea what your application will be doing.

Silly n00b, help us to help you!

Mark (is joking ;).

Well, Mr excuuuuuuse me!

I thought you''d have an imagination of what my code could look like.

If I wrote an application that that executed system commands and stored stuff (user login, password, and some data like age, gender).

Pretend I pasted the code. It''s all on one line (just kidding)

What would you look for besides sanitized variables?

I can also put this another way. How would you go about hacking a PHP site?

1. SQL Injection.........check
2. Causing fatal errors by bad input.........check (set_error_handler())
3. Scan all files of the site and check for left over files, other unlinked pages that maybe undeveloped, .inc config files that PHP won''t process.
4. ????
5. Profit!



Dan (could share the

相关文章

• 安全漏洞
• PHP“记住我"安全漏洞?
• BackConnectionHostNames安全漏洞
• access() 安全漏洞
• 十大PHP安全漏洞
• PHP CMS的历史安全漏洞？
• PHP Fwrite中的安全漏洞?
• 测试Web应用程序中的安全漏洞:***做法?
• WCF运输安全漏洞
• 贝宝安全漏洞?
• 堆检查安全漏洞
• PHP安全漏洞-列出远程PHP文件的内容?
• AES加密与;安全漏洞
• .NET平台的安全漏洞？
• phpBB中的安全漏洞
• Struts 2安全漏洞问题
• PHP 5.5 short_open_tag =关于安全漏洞?
• 安全漏洞 - veracode报告 - crlf注射
• OWA和Asp.net安全漏洞
• Asp.Net中的安全漏洞
• libpng包含使用OpenCV的安全漏洞
• API滥用-安全漏洞问题MVC APP
• Newtonsoft JSON.NET安全漏洞实现
• 你见过的最糟糕的安全漏洞?
• SharePoint 2013 Public WebSite中的安全漏洞

PHP最新文章

• 请求头字段Access-Control-Allow-Headers在预检响应中不允许Access-Control-Allow-Headers
• 路由问题导致Symfony \ Component \ HttpKernel \ Exception \ NotFoundHttpException错误
• 错误：SQLSTATE [42000]：语法错误或访问冲突：1064您的SQL语法有错误;检查手册
• 什么是NCFB和NOFB模式？
• 警告：mysqli_connect（）：（HY000 / 1045）：访问被拒绝用户'用户名'@'localhost'（使用密码：是）
• 如何处理致命错误：cURL错误7：无法连接到xxxx端口443
• 参数3传递给GuzzleHttp\Client :: request（）必须是数组类型，给定字符串
• phpMyAdmin的＃2054无法登录到MySQL服务器
• SSL错误SSL3_GET_SERVER_CERTIFICATE：证书验证失败
• 在PHPExcel中设置字体颜色，字体和字体大小

热门教程

• Java教程
• Apache ANT 教程
• Kali Linux教程
• JavaScript教程
• JavaFx教程
• MFC 教程
• Apache HTTP客户端教程
• Microsoft Visio 教程

热门工具

• Java 在线工具
• C(GCC) 在线工具
• PHP 在线工具
• C# 在线工具
• Python 在线工具
• MySQL 在线工具
• VB.NET 在线工具
• Lua 在线工具
• Oracle 在线工具
• C++(GCC) 在线工具
• Go 在线工具
• Fortran 在线工具