Programmazione security

12

La guida definitiva all'autenticazione di siti Web basata su moduli [chiuso]

Chiuso . Questa domanda deve essere più focalizzata . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si concentri su un problema solo modificando questo post . Chiuso 3 anni fa . Autenticazione basata su moduli per siti Web Riteniamo che Stack Overflow …

5372 security http authentication language-agnostic article

7

Perché Google antepone mentre (1); alle loro risposte JSON?

Perché Google antepone while(1);alle loro risposte (private) JSON? Ad esempio, ecco una risposta durante l'attivazione e la disattivazione di un calendario in Google Calendar : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Suppongo che …

4078 javascript json ajax security

17

Perché char [] è preferito su String per le password?

In Swing, il campo password ha un metodo getPassword()(restituisce char[]) invece del solito metodo getText()(restituisce String). Allo stesso modo, ho trovato un suggerimento di non utilizzare Stringper gestire le password. Perché Stringrappresenta una minaccia per la sicurezza quando si tratta di password? Sembra scomodo da usare char[].

3422 java string security passwords char

28

Come posso impedire l'iniezione di SQL in PHP?

Le risposte a questa domanda sono uno sforzo della comunità . Modifica le risposte esistenti per migliorare questo post. Al momento non accetta nuove risposte o interazioni. Come utilizzare lo Stack Overflow nello Stack Overflow in questo modo : Каким образом избежать SQL-инъекций в PHP? Se l'input dell'utente viene inserito …

2773 php mysql sql security sql-injection

26

Come dovrei affrontare eticamente l'archiviazione della password dell'utente per il successivo recupero del testo in chiaro?

Bloccato . Questa domanda e le sue risposte sono bloccate perché la domanda è fuori tema ma ha un significato storico. Al momento non accetta nuove risposte o interazioni. Mentre continuo a creare sempre più siti Web e applicazioni Web, mi viene spesso chiesto di archiviare le password degli utenti …

1344 security password-encryption password-storage

14

Hash e salt sicuri per le password PHP

Attualmente si dice che MD5 è parzialmente non sicuro. Tenendo conto di ciò, vorrei sapere quale meccanismo utilizzare per la protezione con password. Questa domanda, il "doppio hashing" è una password meno sicura rispetto al semplice hashing una volta? suggerisce che l'hashing più volte può essere una buona idea, mentre …

1174 php security passwords hash protection

17

Come posso disinfettare l'input dell'utente con PHP?

Esiste da qualche parte una funzione catchall che funziona bene per disinfettare l'input dell'utente per l'iniezione SQL e gli attacchi XSS, pur consentendo alcuni tipi di tag HTML?

1124 php security xss sql-injection user-input

13

Come funziona l'iniezione SQL dal fumetto XKCD "Bobby Tables"?

Solo guardando: (Fonte: https://xkcd.com/327/ ) Cosa fa questo SQL: Robert'); DROP TABLE STUDENTS; -- Conosco entrambi 'e --sono per commenti, ma la parola non DROPviene commentata anche perché fa parte della stessa riga?

1094 security validation sql-injection

18

Best practice per la protezione di un'API / servizio Web REST [chiuso]

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post . Chiuso 2 anni fa . Quando si progetta un'API o un servizio REST, esistono delle best …

828 wcf security rest authorization rest-security

30

Come evitare il reverse engineering di un file APK?

Sto sviluppando un'app di elaborazione dei pagamenti per Android e voglio impedire a un hacker di accedere a qualsiasi risorsa, risorsa o codice sorgente dal file APK . Se qualcuno modifica l'estensione .apk in .zip, può decomprimerlo e accedere facilmente a tutte le risorse e risorse dell'app e, usando dex2jar …

764 android security proguard reverse-engineering

7

Le istruzioni preparate per DOP sono sufficienti per prevenire l'iniezione di SQL?

Diciamo che ho un codice come questo: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentazione DOP afferma: I parametri per le istruzioni preparate non devono essere citati; l'autista lo gestisce per te. È davvero tutto ciò che …

660 php security pdo sql-injection

14

Perché OAuth v2 ha sia token di accesso che di aggiornamento?

La sezione 4.2 della bozza del protocollo OAuth 2.0 indica che un server di autorizzazione può restituire sia un access_token(che viene utilizzato per autenticarsi con una risorsa) sia un refresh_token, che viene utilizzato esclusivamente per creare un nuovo access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Perché entrambi? Perché non fare l' access_tokenultimo fino a quando …

654 security oauth access-token refresh-token

4

Iniezione SQL che aggira mysql_real_escape_string ()

Esiste una possibilità di iniezione SQL anche durante l'utilizzo mysql_real_escape_string() funzione? Considera questa situazione di esempio. SQL è costruito in PHP in questo modo: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Ho sentito numerose persone che mi dicono che un codice …

644 php mysql sql security sql-injection

11

Autenticazione contro autorizzazione

Qual è la differenza nel contesto delle applicazioni Web? Vedo molto l'abbreviazione "auth". Significa autenticazione o autenticazione ? O entrambi?

626 security authorization authentication

4

Come può bcrypt avere sali integrati?

L'articolo di Coda Hale "Come conservare in modo sicuro una password" afferma che: bcrypt ha sali integrati per prevenire attacchi da tavolo arcobaleno. Cita questo documento , che afferma che nell'implementazione di OpenBSD di bcrypt: OpenBSD genera il sale bcrypt a 128 bit da un flusso di chiavi arcfour (arc4random …

617 security hash internals bcrypt

Domande taggate «security»