Вопросы с тегом «security»

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 3 года назад . Аутентификация на основе форм для веб-сайтов Мы считаем, что переполнение стека …

5373 security  http  authentication  language-agnostic  article 

Почему Google предпочитает while(1);свои (личные) ответы JSON? Например, вот ответ при включении и выключении календаря в Календаре Google : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Я бы предположил, что это для того, чтобы …

4080 javascript  json  ajax  security 

В Swing поле пароля имеет метод getPassword()(return char[]) вместо обычного getText()(return String) метода. Точно так же я натолкнулся на предложение не использовать Stringдля обработки паролей. Почему возникает Stringугроза безопасности, когда речь идет о паролях? Это неудобно в использовании char[].

3423 java  string  security  passwords  char 

Ответы на этот вопрос - работа сообщества . Отредактируйте существующие ответы, чтобы улучшить этот пост. В настоящее время он не принимает новые ответы или взаимодействия. На этот вопрос есть ответы на Переполнение стека на русском : Каким образом избежать SQL-инъекций в PHP? Если пользовательский ввод вставляется без изменения в запрос …

2773 php  mysql  sql  security  sql-injection 

Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, меня часто просят хранить пароли пользователей таким образом, чтобы их можно …

1344 security  password-encryption  password-storage 

В настоящее время говорят, что MD5 частично небезопасен. Учитывая это, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, является ли «двойное хеширование» паролем менее безопасным, чем однократное хеширование? предполагает, что хэширование несколько раз может быть хорошей идеей, тогда как как реализовать защиту паролем для отдельных файлов? …

1174 php  security  passwords  hash  protection 

Есть ли где-нибудь функция-ловушка, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, но при этом допускает определенные типы HTML-тегов?

1124 php  security  xss  sql-injection  user-input 

Просто смотрю на: (Источник: https://xkcd.com/327/ ) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю и то, 'и другое --для комментариев, но разве это слово тоже не DROPкомментируется, поскольку оно является частью одной строки?

1094 security  validation  sql-injection 

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 2 года назад . При разработке REST API или службы существуют ли лучшие рекомендации по работе с …

829 wcf  security  rest  authorization  rest-security 

Я занимаюсь разработкой приложения для обработки платежей для Android и хочу запретить хакеру доступ к любым ресурсам, ресурсам или исходному коду из файла APK . Если кто-то изменяет расширение .apk на .zip, то он может разархивировать его и легко получить доступ ко всем ресурсам и активам приложения, а с помощью …

764 android  security  proguard  reverse-engineering 

Допустим, у меня есть такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документация PDO гласит: Параметры для подготовленных утверждений не должны быть указаны; водитель справится с этим за вас. Это действительно все, что мне нужно сделать, чтобы …

660 php  security  pdo  sql-injection 

Раздел 4.2 проекта протокола OAuth 2.0 указывает, что сервер авторизации может возвращать как access_token(который используется для аутентификации себя с помощью ресурса), так и a refresh_token, который используется исключительно для создания нового access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Почему есть оба? Почему бы просто не сделать access_tokenпоследний до тех пор, пока refresh_tokenи не иметь refresh_token?

654 security  oauth  access-token  refresh-token 

Есть ли возможность SQL-инъекции даже при использовании mysql_real_escape_string()функции? Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я слышал, как многие люди говорят мне, что подобный код все еще опасен и его можно …

644 php  mysql  sql  security  sql-injection 

Какая разница в контексте веб-приложений? Я часто вижу аббревиатуру "auth". Стоит ли за Идентый -entication или Идент -orization? Или это оба?

626 security  authorization  authentication 

В статье Coda Hale «Как безопасно хранить пароль» утверждается, что: В bcrypt встроены соли для предотвращения атак с радужного стола. Он цитирует эту статью , в которой говорится, что в реализации OpenBSD bcrypt: OpenBSD генерирует 128-битную соль bcrypt из ключевого потока arcfour (arc4random (3)), заполненного случайными данными, которые ядро ​​собирает …

617 security  hash  internals  bcrypt