Preguntas con etiqueta 'php'

preguntas con etiqueta
2
respuestas

¿Debo usar urandom () o openssl_random_pseudo_bytes ()?

Estoy desarrollando un sitio en PHP 5.4. ¿Qué función es mejor usar para generar un sal aleatorio para la seguridad de la contraseña? $salt = sha1(openssl_random_pseudo_bytes(23)); o $seed = ''; $a = @fopen('/dev/urandom','rb'); $seed .=...
hecha 30.12.2012 - 08:51
1
respuesta

XSS bypass strtoupper & htmlspecialchars

He investigado un poco la prueba, pero lo siguiente me está eludiendo, creo que lo tengo, ¡pero no puedo hacer que se dispare! Intentando evitar lo siguiente: $strippedID = htmlspecialchars($ID); $NEWID = strtoupper($strippedID); ... echo "...
hecha 19.12.2016 - 05:25
4
respuestas

¿Cómo extraer de forma segura un zip cargado?

Estoy trabajando en un proyecto para un cliente en el que les gustaría que sus usuarios carguen un archivo ZIP que se pueda extraer. Una vez extraídos, utilizaremos ciertos archivos allí, como imágenes y archivos HTML. Está claro que esto es...
hecha 24.11.2016 - 13:38
3
respuestas

¿Puede haber una manera de explotar PHP include_once () cuando se filtra la entrada?

Supongamos que existe este código para incluir otros archivos php de la entrada del usuario (sí, sé que es una mala elección): $input = addslashes($_GET["input"]); if (strpos($input, '../') === false) { include_once('/path/to/php/files/'....
hecha 04.11.2018 - 08:55
4
respuestas

¿Qué características de seguridad debería tener un marco PHP?

¿Qué características de seguridad encontrarías útiles o esperarías de un marco PHP? Tengo un marco PHP que he desarrollado y que voy a lanzar como un proyecto de código abierto, pero quiero asegurarme de que tenga las características de segurida...
hecha 12.09.2011 - 22:25
2
respuestas

daemon HTTP y permisos Webroot

Tenemos un desarrollador web contratado que utiliza scripts de implementación para actualizar e implementar sitios web. Para que funcionen, requieren acceso de escritura a todo el webroot a través del usuario httpd. He intentado convencerlos...
hecha 31.07.2012 - 22:30
1
respuesta

Implementando un enlace de inicio de sesión automático en un correo electrónico [duplicado]

Así que estoy trabajando en una aplicación PHP llamada Magento y me gustaría implementar un enlace que se enviará en un correo electrónico a los clientes que los registrarán automáticamente. Sé que es crítico en términos de seguridad, así...
hecha 12.07.2016 - 11:54
2
respuestas

¿La función eval () de PHP es vulnerable a la inyección de código cuando se ejecuta una cadena creada desde una matriz?

Estoy tratando de aprender más sobre la explotación de PHP eval () y me encontré con este escenario: <?php $test = array(); $test[0] = "command0 "; $test[1] = $_GET["cmd1"]; $test[2] = "command2 "; $test[3] = "command3 "; $params = ""; fo...
hecha 10.01.2018 - 03:16
2
respuestas

¿Cómo puede alguien cargar un archivo PHP a un servidor sin un formulario de carga?

Se me confió un sitio web existente para el que debería hacer algunos cambios en la parte de diseño, pero cuando estaba a punto de acceder a él, he visto que se ha comprometido. Cuando estaba buscando el problema, encontré un archivo PHP de vuln...
hecha 02.06.2016 - 07:26
2
respuestas

Preocupaciones de seguridad con el sistema de prepago

Estoy pensando en establecer un sistema de prepago para la industria minorista de alimentos. Los minoristas podrán generar códigos aleatorios de 10 dígitos y proporcionarlos a los clientes para que ingresen en una aplicación para obtener el valo...
hecha 26.10.2012 - 05:45