PHP明文密码-有什么风险?
我现在学习PHP只是为了好玩 我认为在源代码中使用明文密码存在很大的危险。但风险究竟是什么 比如说,PHP明文密码-有什么风险?,php,security,Php,Security,我现在学习PHP只是为了好玩 我认为在源代码中使用明文密码存在很大的危险。但风险究竟是什么 比如说, <?php if ($pass == "4f5s5gdx#") { /* do secure code */ } else { /* error */ } ?> 假设$pass来自文本字段 我了解htmlspecialchars,以防止代码注入漏洞攻击。但是,纯文本密码检查还有哪些其他安全问题?我知道你应该使用hash和sal
<?php
if ($pass == "4f5s5gdx#") {
/* do secure code */
} else {
/* error */
}
?>
我了解htmlspecialchars,以防止代码注入漏洞攻击。但是,纯文本密码检查还有哪些其他安全问题?我知道你应该使用hash和salt作为实际密码,我永远不会使用它来保证安全性。如果你不小心键入了一个阻止PHP解析你的PHP代码的命令,或者你的PHP由于任何原因停止被解析,然后,您将有一个纯文本/HTML文件,并将您的纯文本密码放在一个银盘上提供给您的用户。如果您意外键入一个阻止PHP解析您的PHP代码的命令,或者您的PHP因任何原因停止解析,然后,您将有一个纯文本/HTML文件,并将您的纯文本密码放在一个银盘上提供给您的用户。这个答案应该告诉您,如何可以将php文件作为未经php解析器处理的纯文本访问 如果有人利用您服务器上的漏洞获取该页面,则他们拥有所有密码
就其自身而言,散列或加密密码与其他安全方法相结合是一种很好的安全性,这是一个伟大的系统。安全性都是关于层的,您需要添加尽可能多的层,密码哈希就是其中之一。这个答案应该告诉您如何能够以纯文本的形式访问php文件,而不是由php解析器处理 如果有人利用您服务器上的漏洞获取该页面,则他们拥有所有密码
就其自身而言,散列或加密密码与其他安全方法相结合是一种很好的安全性,这是一个伟大的系统。安全性是关于层的,你需要添加尽可能多的层,密码散列就是其中之一。所有php代码都应该由服务器远程处理,因此用户只能看到服务器向他们显示的内容。。。但是如果你有
<?php
// Code here
?>
$password = 'iloveSO';
require_once '../password.php';
所有php代码都应该由服务器远程处理,因此用户只能看到服务器显示的内容。。。但是如果你有
<?php
// Code here
?>
$password = 'iloveSO';
require_once '../password.php';
除非您将其用于内部网;好的否则,有超级计算机会像猎犬一样嗅出那些气味,就像一个身上满是香水的逃犯。你应该在基本上回答这个问题:如果有人得到了这个脚本的副本,他们将能够进入这个密码保护的任何东西,因为他们会有密码。@Kermit我应该迁移吗?@baum可能只是搜索它,因为它很可能已经被广泛讨论过了。除非你将其用于内部网;好的否则,有超级计算机会像猎犬一样嗅出那些气味,就像一个身上满是香水的逃犯。你应该在基本上回答这个问题:如果有人得到了这个脚本的副本,他们将能够进入这个密码保护的任何东西,因为他们会有密码。@Kermit我应该迁移吗?@baum可能只是搜索它,因为它很可能已经被广泛讨论过了。
- password.php
- htdocs/
- index.php
- images/
- image1.jpg
require_once '../password.php';