个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
25
4
我使用 SQLite 和存储在 文件系统 上的 session 编写了一个 PHP 网络应用程序。
这在功能上很好,而且维护成本低。但是,现在它需要在共享主机上运行。
共享主机上的所有 Web 应用程序都以同一用户身份运行,因此我用户的 session 数据易受攻击,数据库、代码等也是如此。
在这种情况下,许多人建议将 session 存储在 DBMS 中,例如 MySQL。所以起初我以为我会这样做,并将 SQLite 数据也移动到 MySQL 中。但后来我意识到 Web 应用程序用户需要能够读取 MySQL 凭据,所以我回到原点。
我认为最好的解决方案是将 PHP 用作 CGI,这样它就可以作为每个 Web 应用程序的不同用户运行。这听起来不错,但我的主机并没有这样做,它使用 mod_php。从管理员的角度来看,启用此功能是否有任何缺点? (性能、向后兼容性等)?如果没有,那么我会要求他们启用此功能。
否则,在这种情况下我能做些什么来保护我的数据库和 session 数据?
最佳答案
只要您的代码以共享网络用户的身份运行,存储在服务器上的任何内容都将容易受到攻击。任何其他用户都可以编写 PHP 脚本来检查服务器上的任何可读文件,包括您的数据和 PHP 代码。
如果您的托管服务提供商允许,在不同用户下将 PHP 作为 CGI 运行会有所帮助,但我预计性能会受到显着影响,因为每个请求都需要创建一个新进程。 (您可以将 FCGI 视为性能更好的替代方案。)
另一种方法是根据用户提供的内容设置 cookie,并使用它来加密 session 数据。例如,当用户登录时,获取用户名、密码(由他们提供)和当前时间的哈希值,使用哈希值加密 session 数据,设置包含哈希值的 cookie。在下一个请求中,您将取回 cookie,然后可以使用它来解密 session 数据。但是请注意,这只会保护当前 session 数据;您的用户表、其他数据和代码仍然容易受到攻击。
在这种情况下,考虑到它提供的安全性降低,您需要决定是否可以接受共享托管的低成本权衡。这将取决于您的应用程序,与其试图想出一种复杂的(甚至可能不是很有效的)方法来增加安全性,您最好还是接受风险。
关于php - 在 PHP 共享主机上保护数据库和 session 数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/131017/
25
4
0
只是想知道是否有可能找出谁从 Windows 共享中读取了文件(最好使用 .NET,但 win32 native 可以)? 我想做的是创建类似 awstats 的东西对于 Windows 共享,这样我
是否可以列出 Intent.ACTION_SEND ?我的意思是我需要知道是否有人通过 action_send 在 Facebook 上分享或在 Twitter 上发推文。 最佳答案 也许你想要一个更
我正在使用 Google Apps 应用程序。实际上,我想在不使用密码的情况下访问另一个 ID。我使用了 OAuth,它运行良好。但我无法分享特定人的日历。我尝试了以下代码。 GoogleOAuthP
我怎样才能只创建模拟器...可能吗?我知道,设备需要分发证书。 最佳答案 您只需将应用程序目录从 iPhone 模拟器复制到另一个实例/操作系统版本,它就应该可以工作。 因此,如果您想分发 3.1.3
我想使用多阶段构建来避免每次构建应用程序时都下载我的 Java 项目所需的所有 Maven 依赖项。 我正在考虑在第一阶段解决 Maven 依赖项,然后在第二阶段构建应用程序,这将需要访问在前一阶段下
我正在寻找保护用户下载内容的初步想法。用户下载充满有趣资源的 zip 文件,这些资源被提取到本地文件系统中以供应用程序使用。我的目标是防止用户通过互联网将下载的资源共享给其他用户(假设他们获得了对文件
我想知道在具有移动和桌面版本的网站上共享身份验证、 session 管理等的最佳方法是什么。我们正在运行 Tomcat,并且更愿意将移动站点和桌面站点的应用程序保持在不同的节点上。 我看过类似的帖子,
我发现了这个单例的实现。我怎样才能创建指向它的指针或共享指针?` 为什么这不起作用?自动测试 = Singleton::Instance(); class Singleton { public: st
我有一个 heroku 项目,我想与其他人分享。作为the instructions describe ,我使用 virtualenv 来管理环境和依赖项。有没有办法在新机器上从 requiremen
Maven 将所有 jar 存储在本地存储库 ~/.m2/repository/ 下。用户多时占用空间大。 那么,是否可以由多个用户共享这个本地存储库,或许在不同的目录结构下? 最佳答案 简单的回答
为什么共享 worker 在重新加载页面时死了?应该是复活了我该如何解决这个问题? 重装前 重新加载后(在example.com上按F5) parent worker var port = new S
我正在开发多个小型应用程序,这些应用程序将共享通用和共享模块和 Assets 。 关于如何创建项目结构的部分在这里回答:https://stackoverflow.com/a/61254557/135
我在 RHEL 上安装了 jenkins (localhost:8080),我能够成功地构建代码 现在,我想设置主/从代理。 我的笔记本电脑将充当“Master Jenkins”,而我同事的笔记本电脑
我有这种方法可以根据我使用的 EXTRA_STREAM 共享文本文件或图片。我有这两个我可以选择 i.putExtra(Intent.EXTRA_STREAM, uri); i.putExtra(In
我正在使用 R 中的一个数据分析项目,我正在使用 R 中的敏感私有(private)数据进行一些逻辑和多级建模。我爱上了 。预订 包,我已经创建了一本关于我们的工作流程和分析管道的相当广泛的书。问题是
我正在构建的应用程序需要在 UITabBarController 框架内为多个 View (及其 subview )显示共享的自定义 UIToolbar。自定义工具栏的内容在所有 View 中都是相同
我有多个应用程序,我想共享相同的 eslint 配置: - project_root/ - app1/ - node_modules/ - eslint.rc
我有多个 Electron 应用程序。一个是主应用程序,其他几个功能应用程序。主应用程序上的按钮很少,这将导致功能应用程序打开。这里的问题是每个应用程序都有一个主进程,该进程导致要利用更多的CPU。是
我正在开发一个 Node.js 后端,它通过 websocket 与一些桌面客户端进行通信,而服务器端的通信是从 Web 前端发起的。一切正常,因为我将 SockJS Connection 实例存储在
我对托管多个网站的服务器上的多个用户帐户使用私有(private) SSH key 和无密码条目。 我为每个用户帐户使用相同的私钥。 (因为我很懒?或者那是“正确”的方式)。 我现在想授权该国不同地区
我是一名优秀的程序员,十分优秀!