問題タブ [secure-coding]

私のウェブアプリの一部として。これは私が検討しているコードです（私は最高のPHPプログラマーではありませんが、プロジェクト用に独自のアプリをプログラミングしています）：

私のログイン構造がこのようなものである場合、これは安全かどうかを知りたいです。

• http://site.com/
• https://site.com/login.php
• https://site.com/login-action.php（MySQLログインチェック、md5パスワードチェック付き）
• http://site.com/cp/members-only-page.php

私はMD5（）を使用しています。しかし、スクリプトが使用する$ _session ["user"]="1"アプローチ全体に完全に満足しているわけではありません。確かにvBulletinのようなものはこれをしませんか？

返信に感謝します。私はこれがAjaxhaであるという考えにさえ触れていません！

更新-私のアプローチの疑似コード。SSLのすべて。

私の理解では、上記のコードは任意のコード（またはプログラム）の実行を許可します—これを脆弱にする理由と、これをどのように利用するのでしょうか？

Rubyでファイルを安全に消去するGemまたは手段はありますか? システムに存在しない可能性のある外部プログラムは避けたいと思います。

「安全な消去」とは、ファイルの内容を上書きすることを指しています。

拡張子のブラックリストよりもホワイトリストを用意した方が良いと、ファイルアップロードの安全性に関する多くの記事で言われています。しかし、この方法では拡張子が 2 重のファイルに問題があるようです。たとえば、「pdf」、「doc」、「docx」のようなホワイトリストがありますが、このホワイト リストは apple.php.doc または apple.doc.php に対して true を返します。

安全な拡張子チェック関数を作成するにはどうすればよいですか?

私はビジュアル C++ 2008 で systemC を使用しています。単純な hello world プログラムを作成しました。ただし、このエラーが繰り返し発生します。

警告 C4996: 'sprintf': この関数または変数は安全でない可能性があります。

なぜこれが起こっているのですか？助けていただければ幸いです。

ログインフォームがあります：

login.phpを使用してページをリダイレクトしたいと思いますhttps。

https://.../login.phpユーザーがリンクを変更する可能性があるため、ユーザーを送信したくありません。しかし、ログインフォームデータを解析してユーザーをログインさせる前に、サーバー側でリダイレクトを行いたい.

私が見つけた例：

$_SERVER["HTTPS"]しかし、もし私が持っていないvar_dump($_SERVER);

私は$_SERVER['SERVER_PORT']魔女が 80 を持っています。

何か案は？

ありがとう

簡単なログインフォームのあるウェブサイトを持っています。

フォームはに投稿しますlogin.php

内部login.phpでユーザー名とパスワードを確認し、特定のページにリダイレクトします。

私がセキュリティに出くわすまで、すべては良いです。PCIコンプライアンスから私はこれを取得します：

機密情報を含むすべてのWebアプリケーション通信は、SSL / TLS（HTTPS）を使用して送信する必要があります。この検出結果を修正するためにHTTPからHTTPSへのリダイレクトを使用する場合は、そのようなリダイレクトがシステムのサーバー側で発生することを確認してください（たとえば、HTTPの「Location」ヘッダー要素を使用して）。リダイレクションは、クライアント（ブラウザ）側に依存しません。

次に、login.phpこのコードを上部に追加しました。

この変更後にログインしようとすると、問題が解決したかどうかわからない場合を除いて、ログインプロセスは正常に行われているようです。

注：
ウェブサイトを次のように設定することはできません：https://www.website.comこれはセキュリティ警告をスローするためです。しかし、私は有効な証明書を持っています。

この問題を解決するにはどうすればよいですか？

ありがとう

編集：

セキュリティ警告は、安全でないWebサイトへのアクセスに関するもので、赤い長方形は、このWebサイトにアクセスして、例外リストに追加できるかどうかを尋ねます。

例外リストの下に証明書を追加すると、このアラートは1回だけ発生します

簡単な質問：arm-none-eabiにはcodesourcery g++liteを使用しています。includeフォルダーを検索して、strcpy_sやsprintf_sのような安全な関数があるかどうかを確認しましたが、結果が得られませんでした。

codesourceryはこれらの安全な機能を提供していますか（おそらく別の名前で？）

Mentor GraphicsのWebサイトで、この質問に対する答えが見つかりませんでした（google ...でも）。

この関数のサードパーティバージョンをプロジェクトに追加する必要がありますか？

さまざまな OS で効率的に malloc() 関数を使用する方法。

PHP のシリアライズ機能が 100% 安全かどうかを知りたいです。シリアライズされたデータをデータベースに保存し、それを取得した後に何かをしたい場合、それは良い方法でしょうか。

例:- 私はさまざまなユーザー権限を持つ Web サイトを持っています。今、特定の権限のアクセス許可設定をデータベースに保存したいと考えています (保存したいこのデータは、php シリアル化関数を介して実行されます)。このデータを取得して、顧客に権限を設定したいと考えています。

私が知りたいのは、それが最善の方法なのか、それとももっと効率的なことができるのかということです。

また、私はphpマニュアルを調べていて、このコードを見つけました.誰かがこのコードで何が起こっているのか少し説明してもらえますか:- [特にbase64_encodeが使用される理由?]

また、誰かが私に独自のコードを提供して、このことを最も効率的な方法で行うことを示すことができれば.

問題があります。権限として取得するフィールドが非常に多くあります。たとえば、管理者用に 45 個のモジュールがあり、ユーザーが権限/​​権限の下で使用できるモジュールが 30 個あります。将来 (私は常にこのプロジェクトに取り組んでいるため)、さらに多くのモジュールを追加する予定です。たとえば、約 100 個以上のモジュールを追加して、特権を定義するにはどうすればよいでしょうか。そして、カスタム権限を持つカスタマイズされたグループを作成するモジュールを追加しています。効率を念頭に置いて、どのようにそれを達成しますか？助けてください:|

シリアル化されたデータを検索に使用するつもりはありません

マイデータベース:-

注:-ユーザー権限は次の方法で付与されます:privileges_level

注:- privileges_permissions では、シリアル化された形式ですべての特権を追加したいと考えています。

ありがとう。