Preguntas con etiqueta 'php'

2
respuestas

¿Es strip_tags () horriblemente inseguro?

Siempre uso strip_tags para prevenir ataques XSS, pero hoy vi un mensaje que decía que es terriblemente inseguro. Como dice el manual, ¡no comprueba si el HTML está mal formado! ¿Es cierto? ¿Qué puedo hacer para prevenir XSS?     
hecha 23.12.2011 - 16:03
1
respuesta

¿PHP loadXML es vulnerable al ataque XXE (y a otros ataques)? ¿Hay una lista de funciones vulnerables?

Tengo un código PHP que utiliza la función loadXML (así como otras funciones XML). ¿La función loadXML es vulnerable al ataque XXE? A saber, si el XML contiene entidades externas, ¿se interpretarán? ¿Esta función es vulnerable a otros a...
hecha 15.08.2016 - 11:05
4
respuestas

funciones de PHP para prevenir XSS

¿Existe una biblioteca probada con funciones para prevenir ataques XSS? Muchas personas no se dan cuenta de que htmlspecialchars no es suficiente para prevenir los ataques XSS. Hay varios contextos que necesitan su propio escape (propieda...
hecha 09.11.2011 - 22:36
1
respuesta

Determinando httpd PHP Scripts con Auditd

Background Tengo un problema en mi servidor donde un agujero permite que los archivos PHP maliciosos se escriban en cualquier directorio de escritura mundial debajo de la raíz web. Actualmente no está causando ningún daño, ya que tengo todos e...
hecha 30.11.2016 - 18:41
6
respuestas

¿Por qué no se usa php para sitios bancarios o para transacciones bancarias?

Otros lenguajes de programación populares en la web, como Java y .NET, se utilizan para sitios bancarios. Sin embargo, rara vez (si acaso) he visto una aplicación PHP diseñada para ser implementada en un sitio bancario. ¿Por qué es esto? ¿Qué...
hecha 01.09.2012 - 16:48
5
respuestas

Cifrado de direcciones IP en una base de datos MySQL

Me gustaría cifrar las direcciones IP en mi base de datos MySQL, con las siguientes restricciones: No necesita ser resistente a los atacantes que pueden ejecutar consultas. Debe ser resistente a los atacantes que tienen acceso a los archiv...
hecha 20.04.2012 - 18:02
3
respuestas

Explotación de un servidor PHP con una carga de archivo .jpg

Me gustaría hacer una pregunta sobre el clásico de carga de una imagen y la ejecución de código PHP en un sitio web. Así que he estado probando este exploit en un sitio web que debo hackear (está configurado para que lo intentemos y lo hagamo...
hecha 27.01.2016 - 19:50
1
respuesta

Adivinando la versión de PHP e información de phpinfo usando el análisis de caja negra

Intro Actualmente estoy experimentando con el análisis de caja negra de PHP y no pude encontrar ninguna información útil. Hay algunos enfoques de cómo determinar, por ejemplo. Versión de Apache, pero para PHP parece que Internet conoce solo lo...
hecha 10.05.2017 - 21:32
3
respuestas

¿Cómo demostrar la inyección de SQL?

Tengo líneas en mi código PHP / MySQL que tienen este aspecto: ... $sqlquery = "SELECT price FROM products WHERE 1=1 AND id=".$_POST['id']; ... ... query is executed ... echo $price; Como prueba / demostración, ¿cómo puedo subvertir esto pa...
hecha 01.03.2011 - 15:21
3
respuestas

¿Scrypt ha resistido la prueba del tiempo?

Siempre he escuchado que scrypt era mejor que bcrpyt ... debido a que la memoria hace que la GPU sea un momento muy difícil de descifrar. Sin embargo, la noción siempre fue que scrypt no se había probado, era una especie de nuevo método de...
hecha 26.09.2013 - 02:07