91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

php 安全措施整理搜集+持續更新

發布時間:2020-07-12 21:43:07 來源:網絡 閱讀:339 作者:sunyheart 欄目:web開發

  #1:管理安裝腳本

  如果開發人員已經安裝了一套第三方應用程序的PHP腳本,該腳本用于安裝整個應用程序的工作組件,并提供一個接入點。大多數第三方軟件包都建議在安裝 后,刪除該目錄包含的安裝腳本。但開發人員希望保留安裝腳本,他們可以創建一個.htaccess文件來控制管理訪問目錄。

  AuthType Basic

  AuthName “Administrators Only”

  AuthUserFile /usr/local/apache/passwd/passwords

  Require valid-user

  任何未經授權的用戶,如果試圖訪問一個受保護的目錄,將會看到一個提示,要求輸入用戶名和密碼。密碼必須匹配指定的“passwords”文件中的密碼。

  #2:頭文件

  在很多情況下,開發人員可以將分布在應用程序的幾個腳本包含進一個腳本里。這些腳本將包含一個“include”指令,集成單個文件到原始頁面的代碼 里。當“include”文件包含敏感信息,包括用戶名、密碼和數據庫訪問密鑰時,該文件的擴展名應該命名成“.php ",而不是典型的“.inc”擴展。“.php”擴展確保php引擎將處理該文件,并防止任何未經授權的訪問。

  #3: MD5 vs. SHA

  在某些情況下,用戶最終會創建自己的用戶名和密碼,而站點管理員通常會對表單提交的密碼加密,并保存在數據庫中。在過去的幾年中,開發人員會使用 MD5(消息摘要算法)函數,加密成一個128位的字符串密碼。今天,很多開發人員使用SHA-1(安全散列算法)函數來創建一個160位的字符串。

  #4: 自動全局變量

  php.ini文件中包含的設置稱為“register_globals”。P服務器會根據register_globals的設置,將會為服務器變 量和查詢字符串自動創建全局變量。在安裝第三方的軟件包時,比如內容管理軟件,像Joomla和Drupal,安裝腳本將引導用戶把 register_globals設置為“關閉”。將設置改變為“關閉”可以確保未經授權的用戶無法通過猜測變量名稱及驗證密碼來訪問數據。

  #5: 初始化變量和值

  許多開發人員都落入了實例化變量不賦值的陷阱,原因可能由于時間的限制而分心,或缺乏努力。身份驗證過程中的變量,應該在用戶登錄程序開始前就有值。這個簡單的步驟可以防止用戶繞過驗證程序或訪問站點中某些他們沒有權限的區域。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

平乡县| 宁都县| 新源县| 商城县| 喀什市| 灵寿县| 湟源县| 湘潭市| 庆安县| 崇礼县| 古蔺县| 南通市| 富顺县| 锡林浩特市| 三穗县| 桐柏县| 文成县| 剑阁县| 南华县| 磴口县| 东宁县| 桐柏县| 泰顺县| 黔东| 金秀| 深州市| 渭源县| 根河市| 庆城县| 兴安县| 瓦房店市| 苏尼特左旗| 北宁市| 东乌| 忻城县| 建德市| 页游| 竹溪县| 溧阳市| 榆中县| 麻城市|