Klausimai pažymėti kaip „saugumas“

Temos, susijusios su programų saugumu ir programinės įrangos atakomis. Nenaudokite šio žyma patys, o tai sukelia dviprasmiškumą. Jei turite klausimų ne apie konkrečią programavimo problemą, pagalvokite, neprašydami saugumo saugumo SE: https://security.stackexchange.com
12
atsakymai

Galutinės formos autentifikavimo vadovas

Tinklalapių pagrindu pagrįstas autentifikavimas Mes manome, kad ngn-wiki.ru turėtų būti ne tik labai specifinių techninių klausimų šaltinis, bet ir bendros rekomendacijos, kaip pašalinti bendrų problemų skirtumus. „Formos, kurių autentiškumas pagrįstas ...
nustatytas 02 rugpjūtis '08, 10:51 val
6
atsakymai

Kodėl „Google“ priduria, kol (1); atsakymus į „Json“ atsakymus?

Kodėl „Google“ priduria, kol (1); (savo) JSON atsakymuose? Pavyzdžiui, čia pateikiamas atsakymas, kai įjungiate arba išjungiate kalendorių „Google“ kalendoriuje: (1); ...
nustatytas 19 d 10 val
18
atsakymai

Kodėl char [] pirmenybė teikiama slaptažodžiams?

„Swing“ slaptažodžio lauke yra getPassword () metodas (grąžina char []), o ne įprastas „getText“ () metodas (grąžina eilutę). Be to, aš susidūriau su pasiūlymu nenaudoti eilutės slaptažodžiui tvarkyti. Kodėl String sukuria saugumo riziką ...
nustatyti 16 sausis '12, 17:20
28
atsakymai

Kaip išvengti SQL injekcijos PHP?

Jei naudotojo įvestis įterpiama nekeičiant SQL užklausos, programa tampa pažeidžiama SQL injekcijai, kaip ir sekančiame pavyzdyje: $ unsafe_variable = $ _POST ['user_input']; mysql_query ("INSERT INTO` table" ("stulpelis") VERTĖS ('$ unsafe_variabl ...
rugsėjo 13 d '08, 2:55
26
atsakymai

Kaip turėčiau laikytis etinio požiūrio į vartotojo slaptažodžių saugyklą, kad galėtumėte vėliau ieškoti aiškiame tekste?

Toliau kuriu vis daugiau ir daugiau svetainių ir žiniatinklio programų, todėl dažnai prašau saugoti naudotojo slaptažodžius, kad juos būtų galima gauti, jei / kai vartotojas turi problemų (arba atsiųskite el. Laišką ...
nustatyti 17 vas '10 10:54 val
14
atsakymai

Saugi maišos ir druskos php slaptažodžiams

Šiuo metu laikoma, kad MD5 yra iš dalies nesaugi. Atsižvelgiant į tai, norėčiau sužinoti, kokį mechanizmą naudoti slaptažodžių apsaugai. Šis klausimas, ar „dvigubas maišymas“ yra ne toks saugus kaip slaptažodis?
nustatytas 31 d '09 - 1:02
12
atsakymai

Kaip veikia „SQL“ injekcija iš „XBCD Bobby Tables“ komiksų?

Pažvelkite: (Šaltinis: https://xkcd.com/327/) Kas tai SQL: Robert '); DROP LENTELĖS STUDENTAI; - Žinau, kad yra „ir - komentarų, bet ar žodis DROP pakomentavo, nes jis yra tos pačios eilutės dalis?
nustatyti 02 gruodis '08 0:50
18
atsakymai

Koks yra geriausias būdas dezinfekuoti vartotojo įvestį naudojant PHP?

Ar yra kažkokia „catchall“ funkcija, kuri gerai tinka dezinfekuoti naudotojo įvestį SQL injekcijoms ir XSS atakoms, bet leidžia tam tikrų tipų html žymes?
nustatytas 24 sep. '08 11:20 val
18
atsakymai

REST API / žiniatinklio paslaugų saugumo patarimai

Kuriant API arba REST paslaugą, ar yra nustatytų saugumo gairių (autentifikavimas, autorizacija, tapatybės valdymas)? Kurdami SOAP API, turite WS-Security kaip vadovą, ir yra daug laiškų ...
rugpjūčio 11 d '08 8:44
32
atsakymai

Kaip išvengti atvirkštinio apk failo?

Sukuriu „Android“ mokėjimo apdorojimo programą ir noriu, kad įsilaužėlis nesinaudotų jokiais ištekliais, turtu ar šaltiniu iš APK failo. Jei kas nors pakeičia .apk plėtinį į .zip, jie gali ją išpakuoti ir lengvai gauti ...
gruodžio 13 d. '12, 9:42
7
atsakymai

Ar pasirengę SKVN teiginiai yra pakankami, kad būtų išvengta SQL injekcijos?

Tarkime, aš turiu šį kodą: $ dbh = naujas SKVN („blahblah“); $ stmt = $ dbh-> parengti ('SELECT * FROM users kur vartotojo vardas =: naudotojo vardas); $ stmt-> vykdyti (masyvas (': naudotojo vardas' => $ _REQUEST ['username'])); SKVN dokumentuose nurodoma: Parametrai ...
nustatyti 25 rugsėjis '08, 6:43 val
6
atsakymai

SQL injekcija, kuri yra paskirstyta aplink mysql_real_escape_string ()

Ar galima įvesti SQL, net jei naudojate funkciją mysql_real_escape_string ()? Apsvarstykite šią situaciją. SQL yra pastatytas PHP taip: $ login = mysql_real_escape_string (GetFromPost („prisijungti“)); $ password = mysql_real_es ...
nustatytas balandžio 21 d '11, 10:56
14
atsakymai

Kodėl OAuth v2 yra prieigos ir atnaujinimo žetonų?

„OAuth 2.0“ protokolo projekto 4.2 skirsnyje nurodyta, kad autorizacijos serveris gali grąžinti „access_token“ (kuris naudojamas autentifikavimui su ištekliumi) ir atnaujinti_token, kuris naudojamas tik sukurti naują access_toke ...
nustatyti 15 rug. '10, 18:25
25
atsakymai

Kodėl „JavaScript“ eval funkcijos yra bloga idėja?

Eval funkcija yra galingas ir paprastas būdas dinamiškai generuoti kodą, taigi kokios yra išlygos?
nustatytas 17 sep. '08 10:09 val
4
atsakymai

Koks yra geriausias būdas įgyvendinti „prisiminti mane“ svetainėje?

Noriu, kad mano svetainė turėtų žymės >
nustatyti spalio 29 d '08 0:09