Запитання з тегом «security»

Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію . Закрито 3 роки тому . Аутентифікація на основі форм для веб-сайтів Ми вважаємо, що переповнення стека має бути не …

5370 security  http  authentication  language-agnostic  article 

Чому Google надає while(1);їм відповіді (приватні) JSON? Наприклад, ось відповідь під час увімкнення та вимкнення календаря в Календарі Google : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Я б припустив, що це не дозволяє …

4074 javascript  json  ajax  security 

У Swing поле пароля має getPassword()(повертає char[]метод) замість звичайного getText()(повертає Stringметод). Так само я натрапив на пропозицію не використовувати Stringдля обробки паролів. Чому це Stringстворює загрозу безпеці, якщо мова йде про паролі? Це відчуває незручність у використанні char[].

3422 java  string  security  passwords  char 

Відповіді на це запитання - це зусилля громади . Відредагуйте наявні відповіді, щоб покращити цю публікацію. Наразі не приймає нових відповідей чи взаємодій. На цей питання є відповіді на Stack Overflow на російському : Чим просто уникати SQL-ін'єкцій у PHP? Якщо введення користувача вставляється без змін у запит SQL, програма …

2773 php  mysql  sql  security  sql-injection 

Заблокований . Це запитання та його відповіді заблоковано, оскільки це питання поза темою, але має історичне значення. Наразі не приймає нових відповідей чи взаємодій. Оскільки я продовжую створювати все більше веб-сайтів та веб-додатків, мене часто просять зберігати паролі користувачів таким чином, щоб їх можна було отримати, якщо / коли у …

1344 security  password-encryption  password-storage 

Наразі кажуть, що MD5 частково небезпечний. Враховуючи це, я хотів би знати, який механізм використовувати для захисту паролем. Це питання: чи "подвійне хешування" пароль менш безпечний, ніж просто його хеш-раз? припускає, що хешування декількох разів може бути хорошою ідеєю, тоді як як застосувати захист паролем для окремих файлів? пропонує використовувати …

1174 php  security  passwords  hash  protection 

Чи є десь функція catchall, яка добре працює для санітарії введення користувача для ін'єкцій SQL та атак XSS, одночасно дозволяючи певні типи тегів HTML?

1124 php  security  xss  sql-injection  user-input 

Просто дивлячись: (Джерело: https://xkcd.com/327/ ) Що робить цей SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю і те, 'і --для коментарів, але чи не DROPкоментується також слово , оскільки воно є частиною того ж рядка?

1093 security  validation  sql-injection 

Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію . Закрито 2 роки тому . При розробці API або послуги REST чи існують якісь встановлені найкращі практики по роботі …

828 wcf  security  rest  authorization  rest-security 

Я розробляю додаток для обробки платежів для Android, і хочу запобігти доступу хакера до будь-яких ресурсів, активів або вихідного коду з файлу APK . Якщо хтось змінить розширення .apk на .zip, він може розпакувати його та легко отримати доступ до всіх ресурсів і активів програми, а за допомогою dex2jar та …

764 android  security  proguard  reverse-engineering 

Скажімо, у мене такий код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документація PDO говорить: Параметри підготовлених висловлювань не потрібно цитувати; водій обробляє це за вас. Це справді все, що мені потрібно зробити, щоб уникнути ін'єкцій SQL? Невже …

661 php  security  pdo  sql-injection 

Розділ 4.2 проекту протоколу OAuth 2.0 вказує, що сервер авторизації може повернути як access_token(який використовується для автентифікації себе з ресурсом), так і a refresh_token, який використовується виключно для створення нового access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Чому обоє? Чому б просто не зробити access_tokenостаннього до тих пір, як refresh_tokenі не мати refresh_token?

654 security  oauth  access-token  refresh-token 

Чи існує можливість ін'єкції SQL навіть при використанні mysql_real_escape_string()функції? Розглянемо цю вибіркову ситуацію. SQL побудований у PHP так: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я чув, як численні люди говорять мені, що такий код все ще небезпечний і його можна …

645 php  mysql  sql  security  sql-injection 

Яка різниця в контексті веб-додатків? Я бачу абревіатуру "auth" багато. Чи означає це аутентифікація або аутентифікація ? Або це обоє?

625 security  authorization  authentication 

У статті Coda Hale "Як безпечно зберігати пароль" стверджується, що: bcrypt має вбудовані солі для запобігання атак на веселковий стіл. Він цитує цей документ , в якому йдеться про те, що у впровадженні OpenBSD bcrypt: OpenBSD генерує 128-бітну криптовалютну сіль з ключового потоку arcfour (arc4random (3)), засіяний випадковими даними, які …

616 security  hash  internals  bcrypt