Recientemente, he recibido algunos errores 404 en los que el usuario ha solicitado páginas PHP.
Las URL están alrededor de las versiones cgi-bin y php , por ejemplo, /cgi-bin/php4 . También hay alguna cadena de consulta com...
Después de crear un sistema de inicio de sesión simple y tratar de protegerlo contra cosas como la inyección de SQL, el secuestro de sesión, XSS, etc., descubrí que realmente disfruto haciendo este tipo de cosas. Me gustaría recoger un libro y p...
¿Dónde se almacena la información en los campos de una sesión? Si yo, por ejemplo, almaceno en una sesión algo como $_SESSION['foo'] = 'bar' . ¿Dónde se almacena la "barra"?
Si almaceno un objeto de una clase, ¿de qué manera se almacena...
Veo muchos ejemplos cuando la salida va directamente a HTML, pero veo más información conflictiva cuando la salida va directamente a JS.
Por ejemplo, si el código era:
var thisIsATest = '<?php echo $_GET['a']; ?>';
Y el vector de a...
Hay numerosas referencias a las vulnerabilidades de división de respuesta HTTP (HRS) con PHP que se ha resuelto desde 4.4.2 y 5.1.2 (por ejemplo, enlace ), o por alrededor de 9 años.
Y, sin embargo, CVE-2013-2652 informó una vulnerabilidad e...
Estamos trabajando para lograr el cumplimiento de la norma SAQ-D PCI y en el camino descubrimos cosas nuevas cada día. Hoy: Administración de claves
Me pregunto si hay soluciones de código abierto o comerciales de PHP disponibles que implem...
Desde que he creado sitios que requieren que un usuario inicie sesión con un nombre de usuario y contraseña, siempre he mantenido las contraseñas un tanto seguras almacenándolas en mi base de datos con una frase salt. Bueno, recientemente leí qu...
Recientemente estuve leyendo un artículo sobre file_get_contents y HTTPS .
Una parte que me llamó la atención es:
Por supuesto, la configuración allow_url_fopen también conlleva un riesgo separado de
habilitar la ejecución rem...
Diga que había una página web de acceso público con el siguiente código PHP:
<?php
class NotInteresting
{
public function noExploits() {
echo "Whatever.";
}
}
$unsafe = unserialize($_GET['data']);
$unsafe->noExploits();
?...
Alguien hackeó mi sitio y subió este script ( template46.php ) a mi webroot y su contenido es:
<?php
$vIIJ30Y = Array('1'=>'F', '0'=>'j', '3'=>'s', '2'=>'l', '5'=>'M', '4'=>'0', '7'=>'W', '6'=>'L', '9'=>'Z',...