Preguntas con etiqueta 'php'

preguntas con etiqueta
2
respuestas

Riesgos de un formulario de carga de imagen PHP

Mi cliente quiere un sitio de fotografía donde los usuarios puedan subir sus fotos en respuesta a las competencias de fotografía. Aunque técnicamente esto no es un problema, quiero saber los riesgos asociados con permitir que cualquier usuario c...
hecha 19.03.2013 - 12:46
7
respuestas

¿Explotando la vulnerabilidad de MD5 en este formulario de PHP?

He estado practicando en temas relacionados con la seguridad y encontré este problema que no entiendo en absoluto. Recibe un formulario con una entrada llamada pass , y este es el código que debe omitir: <?php error_reporting(0); sess...
hecha 11.06.2016 - 22:32
6
respuestas

archivos PHP con capacidad de navegación: ¿es esto una vulnerabilidad?

Tengo un amigo que tiene un sitio web desarrollado en PHP en el que podemos examinar todos sus archivos uno tras otro (por supuesto, no podemos leer el contenido de los archivos PHP). ¿Crees que esto es un agujero de seguridad? Si es así, ¿en...
hecha 24.04.2014 - 11:20
5
respuestas

¿Cómo realizar una auditoría de seguridad para una aplicación PHP?

Tengo una aplicación PHP que me gustaría haber auditado por seguridad. Estoy familiarizado con la mayoría de los problemas de seguridad en general, pero quiero asegurarme de que no me haya perdido nada. ¿Qué pasos debo seguir para realizar un...
hecha 11.11.2010 - 22:47
4
respuestas

convencer a la compañía de no almacenar números de tarjetas de crédito en nuestra aplicación web

La empresa para la que trabajo necesita un sistema para realizar cargos mensuales de tarjeta de crédito a las cuentas de los clientes. Los clientes podrán actualizar la información de su tarjeta de crédito desde una interfaz en línea escrita en...
hecha 14.08.2012 - 22:40
3
respuestas

¿Por qué las instalaciones de WordPress recuperan los secretos criptográficos de forma remota durante la instalación?

Parece que WordPress (a través de HTTPS): // setup-config.php $secret_keys = wp_remote_get( 'https://api.wordpress.org/secret-key/1.1/salt/' ); ¿Hay algún beneficio al hacer esto en lugar de generar las claves localmente? ¿Esto es com...
hecha 23.06.2014 - 11:00
5
respuestas

¿Cambiar la extensión de archivo de un ejecutable cargado a .png lo hace seguro?

Un colega mío tiene un sitio web personal en el que permite a los usuarios cargar cualquier cosa dentro de un tamaño determinado, pero antes de la carga real, comprueba para ver la extensión del archivo: if ( $type == 'image/gif'){ $ext =...
hecha 09.08.2016 - 12:09
11
respuestas

¿Cómo limitar el impacto y reducir el riesgo de inyección SQL para el sitio web existente?

Nuestro sitio web es 100% basado en API (con un cliente SPA). Recientemente, un hacker logró obtener la contraseña de nuestro administrador (con hash con SHA-256) a través de la inyección de SQL (y pwd de craqueo) de esta manera: https://examp...
hecha 20.06.2018 - 21:41
2
respuestas

Los datos importantes se pueden modificar desde la consola del desarrollador. ¿Qué tengo que hacer?

Escenario: Tengo una lista de tareas pendientes que se genera con JavaScript utilizando JSON que se codificó en el lado del servidor. Puse el id del elemento todo en el atributo id de HTML. Entonces el proceso es así: El código del lado de...
hecha 14.12.2017 - 13:21
4
respuestas

¿Cuál es la mejor manera de sanear las opiniones de los usuarios en PHP?

¿Cuál es la mejor manera de sanear las opiniones de los usuarios? Estas son cosas que hago cuando los usuarios envían datos: substr si se encuentran más de valores limitados. htmlspecialchars() + ent_quotes + UTF-8...
hecha 16.09.2013 - 17:08