"3.84.182.112 - 3.84.182.112"

Вопросы с тегом 'security'

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег самостоятельно, что приводит к двусмысленности. Если у вас есть вопрос не о конкретной проблеме программирования, пожалуйста, подумайте, не спрашивая его в Security Security SE: https://security.stackexchange.com
12 отв.

Окончательное руководство по аутентификации на основе форм

Проверка подлинности на основе форм для веб-сайтов Мы полагаем, что Qaru должен быть не просто ресурсом по очень конкретным техническим вопросам, но и для общих рекомендаций по устранению вариаций общих проблем. "Проверка подлинности на основе форм...
02 авг. '08 в 22:51
6 отв.

Почему Google добавляет while(1); в свои ответы JSON?

Почему Google добавляет while(1); в свои (частные) ответы JSON? Например, здесь ответ при включении и выключении календаря в Календаре Google: while(1);[['u',[['smsSentFlag','false'],['hideInvitations','false'], ['remindOnRespondedEventsOnly','t...
19 апр. '10 в 21:00
18 отв.

Почему char [] предпочитается над String для паролей?

В Swing поле пароля имеет метод getPassword() (возвращает char[]) вместо обычного метода getText() (возвращает String). Точно так же я столкнулся с предложением не использовать String для обработки паролей. Почему String создает угрозу безопасности...
16 янв. '12 в 17:20
28 отв.

Как я могу предотвратить SQL-инъекцию в PHP?

Если пользовательский ввод вставлен без изменения в SQL-запрос, приложение становится уязвимым для SQL-инъекции, как в следующем примере: $unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`column`) VALUES ('$unsafe_variabl...
13 сент. '08 в 2:55
26 отв.

Как я должен придерживаться этического подхода к хранилищу паролей пользователей для последующего поиска в открытом виде?

Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, мне часто просят хранить пароли пользователей таким образом, чтобы их можно было получить, если/когда у пользователя возникла проблема (либо отправить по электронной поч...
17 февр. '10 в 22:54
14 отв.

Безопасный хэш и соль для паролей PHP

В настоящее время говорят, что MD5 является частично небезопасным. Принимая это во внимание, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, Является ли "двойной хэширование" паролем менее безопасным, чем просто его ...
31 дек. '09 в 1:02
12 отв.

Как работает SQL-инъекция из комикса XBCD Bobby Tables?

Просто посмотри: (Источник: https://xkcd.com/327/) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю, что для комментариев есть ' и --, но не комментируется ли слово DROP, так как оно является частью одной и той же строки?
02 дек. '08 в 0:50
18 отв.

Какой лучший метод для дезинфекции ввода пользователя с помощью PHP?

Есть ли где-нибудь функция catchall, которая хорошо работает для дезинфекции ввода пользователя для SQL-инъекций и атак XSS, но при этом допускает определенные типы html-тегов?
24 сент. '08 в 23:20
18 отв.

Рекомендации по защите REST API/веб-службы

При разработке API или службы REST существуют ли какие-либо установленные рекомендации по защите (аутентификация, авторизация, управление идентификацией)? При создании SOAP API у вас есть WS-Security в качестве руководства, и существует много литера...
11 авг. '08 в 8:44
32 отв.

Как избежать обратного проектирования файла APK?

Я разрабатываю приложение для обработки платежей для Android, и я хочу, чтобы хакер не получал доступ к каким-либо ресурсам, активам или исходному коду из файла APK. Если кто-то изменяет расширение.apk на.zip, он может распаковать его и легко получ...
13 дек. '12 в 9:42
7 отв.

Являются ли подготовленные PDO заявления достаточными для предотвращения SQL-инъекций?

Скажем, у меня такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); В документации PDO говорится: Параметры для п...
25 сент. '08 в 18:43
6 отв.

SQL-инъекция, которая распространяется вокруг mysql_real_escape_string()

Есть ли возможность впрыска SQL даже при использовании функции mysql_real_escape_string()? Рассмотрим эту ситуацию с образцом. SQL построен в PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_es...
21 апр. '11 в 10:56
14 отв.

Почему OAuth v2 имеет доступ и токены обновления?

В разделе 4.2 проекта протокола OAuth 2.0 указано, что сервер авторизации может возвращать как access_token (который используется для аутентификации с ресурсом), так и refresh_token, который используется исключительно для создания нового access_toke...
15 авг. '10 в 18:25
25 отв.

Почему использование JavaScript eval-функции - плохая идея?

Функция eval - это мощный и простой способ динамического генерации кода, поэтому в чем же оговорки?
17 сент. '08 в 22:09
4 отв.

Каков наилучший способ реализовать "запомнить меня" для веб-сайта?

Я хочу, чтобы на моем веб-сайте был установлен флажок, который пользователи могут щелкнуть так, чтобы им не приходилось регистрироваться каждый раз, когда они посещают мой сайт. Я знаю, что мне нужно будет хранить файлы cookie на своем компьютере, чт...
29 окт. '08 в 0:09