25 Aug 09: 老生常谈的注入攻击 ■ SQL注入场景:SQL注入发生在任何有用户可控输入并且会和数据库进行交互操作的功能处,比如:用户登录验证、查询、搜索、更新信息等。说明:通过预编译实现参数化查询,将用户的输入数据和后台的SQL代码分离,正确的使用预编译来实现参数化... Read more 0
25 Aug 08: 访问控制 title = ""categories = "PHP" date = +++■ 控制方法场景:需要进行授权访问的系统在进行访问时接入。说明:将访问控制的逻辑代码与应用程序其他代码分开,服务端根据会话标识来进行访问控制管理。PHP示例... Read more 0
24 Aug 05 图灵验证码 ■ 验证码生成场景:用户注册、密码重置、密码找回时。说明:复杂度至少4位数字或字母,或者采用拼图等验证方式,一次一用,建议有效期不超过180秒。 Java示例:后端生成验证码。PHP 示例:后端生成验证码。<?php sessi... Read more 0
23 Aug 04 短信验证码 ■ 验证码生成/验证码限制/安全提示/凭证校验场景:用户注册、密码重置、密码找回时。说明:复杂度至少6位数字或字母,一次一用,建议有效期不超过180秒。前后端设置用户获取频率为60秒一次,建议每个用户每天获取的短信最多10条。增加安全... Read more 0
21 Aug 03 身份验证:用户登录那些事 提交凭证场景:用户通过PC或者APP进行登录时,需要保护用户凭证避免被泄露。说明:用户凭证必须经过加密且以POST方式提交,建议用HTTPS协议来加密通道、认证服务器。HTML示例:用户登录功能。<html> &l... Read more 0
