25 Aug 06 更加安全的密码管理 ■ 密码设置场景:用户注册、密码重置、密码找回时。说明:密码设置时,应该满足8位及以上长度,含大小写字母、数字及特殊字符等的要求。用户密码设置必须经过后端校验,不允许设置不满足复杂度要求的密码。PHP示例:后端验证密码复杂度。<... Read more 0
25 Aug 09: 老生常谈的注入攻击 ■ SQL注入场景:SQL注入发生在任何有用户可控输入并且会和数据库进行交互操作的功能处,比如:用户登录验证、查询、搜索、更新信息等。说明:通过预编译实现参数化查询,将用户的输入数据和后台的SQL代码分离,正确的使用预编译来实现参数化... Read more 0
25 Aug 08: 访问控制 title = ""categories = "PHP" date = +++■ 控制方法场景:需要进行授权访问的系统在进行访问时接入。说明:将访问控制的逻辑代码与应用程序其他代码分开,服务端根据会话标识来进行访问控制管理。PHP示例... Read more 0
24 Aug 05 图灵验证码 ■ 验证码生成场景:用户注册、密码重置、密码找回时。说明:复杂度至少4位数字或字母,或者采用拼图等验证方式,一次一用,建议有效期不超过180秒。 Java示例:后端生成验证码。PHP 示例:后端生成验证码。<?php sessi... Read more 0
23 Aug 04 短信验证码 ■ 验证码生成/验证码限制/安全提示/凭证校验场景:用户注册、密码重置、密码找回时。说明:复杂度至少6位数字或字母,一次一用,建议有效期不超过180秒。前后端设置用户获取频率为60秒一次,建议每个用户每天获取的短信最多10条。增加安全... Read more 0
