Preguntas con etiqueta 'php'

preguntas con etiqueta
1
respuesta

¿Cómo conectarse de forma segura a una base de datos con PHP?

Actualmente en PHP (en el archivo /var/www/website.com/public_html/functions.php ). Me estoy conectando a la base de datos de esta manera: function connect(){ $config = parse_ini_file('/var/www/website.com/db.ini'); $con = mysqli...
hecha 28.02.2017 - 14:20
1
respuesta

¿Explotación del cheque faltado de is_uploaded_file?

La documentación de PHP para is_uploaded_file dice:    Devuelve VERDADERO si el archivo nombrado por nombre de archivo se cargó a través de HTTP POST.   Esto es útil para ayudar a garantizar que un usuario malintencionado no haya intentado...
hecha 20.08.2016 - 11:47
3
respuestas

¿Es posible que un hacker omita subir un archivo php?

Quiero incluir un sistema de filtrado en mi script. Aquí está: <?php $allowedExts = array("gif", "jpeg", "jpg", "png","bmp"); $temp = explode(".", $_FILES["file"]["name"]); $extension = end($temp); if (in_array($extension, $allowedExts)){ /...
hecha 01.10.2013 - 16:56
2
respuestas

¿Cómo puedo demostrar la inclusión de archivos remotos a través de métodos get?

He estado probando mi aplicación web PHP para detectar vulnerabilidades de RFI. Mientras realizaba el escaneo, pude realizar una RFI en mi aplicación web. Escenario: En mi aplicación web, RFI funciona solo cuando la sesión del usuario esta...
hecha 08.03.2016 - 07:16
1
respuesta

¿Son los métodos mágicos de PHP realmente necesarios para la inyección de objetos PHP?

Estoy tratando de entender la falla de la Inyección de Objetos de PHP en vBulletin 5.1.x (CVE 2015-7808) y me topé con los requisitos para la Inyección de Objetos como lo indica OWASP:    La aplicación debe tener una clase que implemente un m...
hecha 07.01.2016 - 12:09
2
respuestas

Guardar información personal (nombre, dirección, teléfono, correo electrónico) en la base de datos MySQL

Voy a crear una aplicación web para que las personas se registren y paguen una membresía. Toda la información de la transacción se procesará a través de Authorize.NET, pero guardamos el resto de la información (Nombre, Tipo de membresía, Cantida...
hecha 15.12.2015 - 20:53
1
respuesta

ataque HTTP eliminando PHP-FPM [cerrado]

Alguien comenzó a atacar mi sitio hace unos minutos y esto provocó que PHP-FPM maximice todos los núcleos (4) en mi vps y NGINX ahora está sirviendo 502 a todos los usuarios. Estoy viendo un montón de estas solicitudes con toneladas de agente...
hecha 10.11.2014 - 11:36
2
respuestas

¿Fui víctima de un ataque "Apache PHP Remote Exploit"?

Tengo un servidor en mi computadora para propósitos de prueba, accesible desde el exterior. Estaba revisando el archivo access.log, y vi 89.187.33.50 - - [29/Mar/2014:03:39:01 +0100] "HEAD / HTTP/1.0" 200 - 89.187.33.50 - - [29/Mar/2014:03:...
hecha 29.03.2014 - 20:23
1
respuesta

¿Los frameworks PHP como Zend, symfony y CakePHP brindan protección predeterminada contra los scripts entre sitios?

ASP.NET MVC proporciona protección predeterminada contra las secuencias de comandos entre sitios. Solo me pregunto si los marcos de PHP hacen lo mismo?     
hecha 01.04.2014 - 01:52
1
respuesta

¿Es posible que los usuarios inserten caracteres prohibidos en sitios con htmlentities o mysqlescapestring?

Por lo tanto, en mi breve investigación sobre la seguridad de PHP, me han guiado hacia dos funciones importantes para eliminar los caracteres prohibidos de los formularios. Uno es "htmlentities" y el otro es "mysql_escape_string". Lo que me preg...
hecha 31.05.2013 - 21:36