Preguntas con etiqueta 'php'

preguntas con etiqueta
3
respuestas

¿Qué características de seguridad deberían estar presentes en cada CMS basado en la web?

¿Cuáles son las características de seguridad más importantes que debe ofrecer un CMS basado en web? ¿Qué es vital? ¿Qué sería bueno tener? ¿Qué características no debe intentar hacer el CMS? Tenga en cuenta: estoy buscando más funciones espec...
hecha 13.11.2010 - 20:41
4
respuestas

Hacer una lista negra de tipos de archivo para proteger la aplicación PHP

Estoy trabajando en un sistema PHP donde el usuario puede cargar archivos. Estoy tratando de proteger el sistema de códigos maliciosos, por lo que estoy pensando en algún tipo de lista negra de archivos que debo bloquear de la carga. Sé qu...
hecha 31.01.2016 - 19:55
4
respuestas

Un sitio de clientes tuvo un gran ataque de inyección de mysql en él, solo quiero aprender de él

Creé una tienda en línea para un amigo mío. Creé un sistema que me envía un correo electrónico cada vez que hay un error en la base de datos, de esa forma, si es un error en mi código, puedo identificarlo y solucionarlo. El correo electrónico...
hecha 27.04.2013 - 00:16
3
respuestas

¿Hay alguna inyección de SQL para este ejemplo de inicio de sesión de PHP?

Quiero escribir un formulario de inicio de sesión y recibí un ejemplo de la web. Quiero saber, si hay alguna inyección de SQL para este código? Si existe, ¿cómo podría ser la entrada del formulario web del exploit? Este es mi formulario: &l...
hecha 22.04.2013 - 00:44
2
respuestas

¿Es posible deshabilitar todas las funciones de PHP que no se usan en mi aplicación?

Quiero asegurar mi instalación de PHP. Puedo deshabilitar algunas funciones, como system() , exec() , etc. usando disable_functions en php.ini. Pero puedo olvidar desactivar algunas funciones peligrosas. ¿Es posible desactivar...
hecha 05.05.2016 - 09:28
4
respuestas

¿Necesita cifrar los datos de la sesión?

Encontré una clase de administración de sesión en PHP que encripta los datos de la sesión en la carpeta de almacenamiento de la sesión (es decir, /tmp ) y se puede descifrar más adelante en su script con una clave. Me preguntaba si es real...
hecha 19.08.2012 - 19:55
3
respuestas

¿Está buscando un consultor de seguridad para hacer una revisión detallada del código?

Tenemos una aplicación PHP que sabemos que tiene prácticas de codificación deficientes (porque los desarrolladores no tenían una buena comprensión de los fundamentos de programación / PHP). Esto podría llevar al escenario donde tenemos fallas de...
hecha 02.12.2010 - 03:13
3
respuestas

¿Cuáles serían los posibles abusos para una API HTTP que acepta SQL sin formato?

Me preguntaba cuáles serían algunos de los posibles abusos para una API HTTP que aceptaba consultas de SQL y resultados de conjuntos de resultados. El hecho de que esta sea la definición canónica de inyección SQL no se pierde en mí :) En mi c...
hecha 15.05.2014 - 21:29
2
respuestas

Explotación de PHP a través de parámetros GET

Para ser claros, esto está en el interés de las pruebas éticas para asegurar una aplicación en nombre de mi trabajo. Ahora que está fuera del camino, aquí están los detalles: Los parámetros GET sin desinfectar se usan en un script PHP par...
hecha 28.05.2013 - 06:32
3
respuestas

PHP mail () Prevención de inyección de encabezado

Este sitio explica muy bien el problema. Esencialmente, casi todos los ejemplos de php mail () que se dan son vulnerables a los ataques de inyección de encabezado. El sitio al que se hace referencia proporciona una solución de saneamiento de e...
hecha 11.12.2010 - 17:37