Preguntas con etiqueta 'php'

preguntas con etiqueta
3
respuestas

Permitiendo a los usuarios ingresar un subconjunto seguro de HTML

Recientemente publiqué esta pregunta en Revisión de código y se recomendó que les pregunte a ustedes sobre esto. Básicamente, esto se usará para permitir que los usuarios generen contenido con formato. Se coloca dentro de las etiquetas HTML...
hecha 16.06.2014 - 08:36
6
respuestas

Prevención de inyección SQL más rápida

Miré por todas partes y no puedo encontrar la respuesta a mi pregunta. Estoy usando el último PHP para scripting del lado del servidor y MySQL para mi base de datos. El conjunto de caracteres es utf8mb4 si eso marca una diferencia....
hecha 31.08.2014 - 21:42
6
respuestas

Revisión de seguridad: "El agente de usuario del encabezado HTTP se ha configurado en (algo)"

Hemos realizado una revisión de seguridad de nuestro código PHP y el equipo lo recomendó en su informe (entre otras cosas): /appdir/ Details The HTTP header user-agent has been set to \" . Request GET /appdir/ HTTP/1.0 Accept: */* User-A...
hecha 22.12.2010 - 15:37
2
respuestas

¿Bcrypt compara los hashes en el tiempo de "constante de longitud"?

Vi esta función slowEquals() mientras leía Hashing de contraseña con sal: hazlo bien , que utiliza un nivel de byte Comparación xor para evitar ataques de tiempo. Me preguntaba si esto es lo que Bcrypt también hace para evitar ataques de...
hecha 29.11.2013 - 08:44
4
respuestas

¿Cómo puedo estar seguro con un salt global?

Si entendí lo básico del hashing y el almacenamiento de contraseñas, lo que necesitamos es: una sal "fuerte" una "verdadera" sal aleatoria una sal única por contraseña una función hashing de contraseña con un alto costo de CPU...
hecha 07.10.2013 - 16:33
4
respuestas

Forma razonable de almacenar contraseñas encriptadas en la base de datos de una aplicación web, Linux

Esta pregunta es generalmente similar a las preguntas anteriores hechas aquí, pero no he visto ninguna relacionada con Linux. Caso en cuestión: una aplicación web PHP tiene un backend MySQL. Como parte de su funcionalidad, accede a otros host...
hecha 13.01.2014 - 16:35
1
respuesta

PHP crypt () recorta la sal ya que sería demasiado largo

Estoy usando Blowfish con PHP crypt () para el hashing de contraseñas, pero noté algo extraño. Citando documentación de PHP:    CRYPT_BLOWFISH - Blowfish hashing con una sal de la siguiente manera: "$ 2a $",   "$ 2x $" o "$ 2y $", un parámetr...
hecha 30.09.2012 - 15:48
1
respuesta

¿Cómo asegurar adecuadamente un $ _GET en PHP?

Encontré un SQLi en un sitio de trabajo de amigos. Informó a sus superiores y me permitieron realizar pruebas adicionales y también parchar el sitio. Después de revisar el sitio, el código vulnerable era un $ _GET. Simplemente agregué intval ()...
hecha 02.08.2012 - 16:02
1
respuesta

¿Qué tan vulnerable es la conexión de la aplicación de Android a la API de PHP con consultas escritas previamente?

He construido una API de PHP que consulta datos de algunas tablas en una base de datos SQL en línea. Las credenciales con las que se conecta a la base de datos se guardan en otro archivo y se cargan al inicio. El usuario con esas credenciales ti...
hecha 24.12.2017 - 18:12
2
respuestas

"Declaración oficial" en php.net: CRYPT_BLOWFISH es el algoritmo hash más fuerte. ¿Por qué?

Primero: hice esta pregunta en stackoverflow y me pidieron que publicáramos esto nuevamente aquí. Consulte la pregunta original aquí . De acuerdo con las [primeras] páginas de documentos de la nueva API de cifrado / cifrado de contraseña d...
hecha 25.05.2013 - 21:14