- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
更新:
我像 Berdir 告诉我的那样添加了 CSRF 保护,借助下面的链接使我的应用程序再次运行。但是.. 我不太确定我现在做了什么 :D 这将如何使我的应用程序更安全?我现在在我的 ajax 代码中得到一个 cookie 值,这让我特别烦恼,因为我必须通过我的 ajax 调用传递它。否则它就不起作用。这不是泄露了一些关于 cookie 的重要信息吗?或者我只是偏执。谢谢!
http://aymsystems.com/ajax-csrf-protection-codeigniter-20
//旧的嗨。
在我正在构建的这个网络应用程序中,我有一个功能可以添加关于某些主题的“提示和技巧”。这些页面只能由具有管理员角色的帐户添加。但是,我也希望能够删除这些页面。 (总是得心应手,对)。因为我使用的是 CodeIgniter,所以我只想制作一个 Controller 函数,它接受一个 ID,并将这个 ID 传递给模型,在这个模型中,与该 ID 对应的页面将从数据库中删除。
只是为了说明这一点:
Controller :
public function del_content($id)
{
$this->content_model->del_content($id)
}
型号:
public function del_content($id)
{
// database code which I can't be bothered to look up now
// something like $this->db->where(), $this->db->delete()
}
这一切都非常简单,但我担心它可能太简单了。这对我来说似乎不太安全,是吗?由于您可以从浏览器的 URL 地址栏调用该函数,因此您基本上可以通过它删除整个内容表。 (因为您将为 ID 为 3 的项目执行 http://mywebsite/controller/del_content/3
)。当然,只有管理员帐户才能访问该功能,但仍然..
我以前从未编写过这样的程序,因此从来不必考虑在这种情况下我应该采取的安全措施。有没有人愿意给我一些我应该注意的事情,也许还有一些想法,建议,如何使它更安全?
非常感谢!
最佳答案
您需要防范的是CSRF攻击。简而言之,它们是通过 GET 或 POST 请求诱骗管理员访问特定 URL 的攻击。</p>
做到这一点的典型方法是 token 。当生成指向删除操作的链接或表单时,您会生成一个发送给客户端的 token (作为隐藏表单字段或作为 GET URL 的一部分),还将它存储在服务器上以供当前 session 和何时使用该操作已执行,您比较提交的 token 和存储的 token ,只有在它们匹配时才继续。
许多框架/系统都以某些方式内置了此功能,例如,所有使用 Drupal 中的表单 API 生成的表单都可以防止此类攻击。
关于php - 从数据库中删除内容,安全预防措施,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5930870/
我已经能够通过 bean:write 消息中的 filter="true"组合以及我正在使用的标签库中使用 StringEscapeUtils.escapeHtml4(string) 来防止 stru
有什么办法可以防止 magento 中的 xss 攻击?在我的本地主机中,我只是想检查如何防止 xss 攻击,例如我在用户在 magento 中注册时插入脚本,在名称字段中插入整个脚本时我感到震惊我已
我是 Laravel 的新手,我正在学习它。 我们在 laravel 中做了什么来防止 sql 注入(inject)??什么是依赖注入(inject)以及我们如何防止这种情况发生? 提前致谢 最佳答案
最近我被嵌入式系统上的堆溢出困扰了好几次。 这通常是由于写入堆上声明的数组超过了数组的大小,这必须超过其他堆声明的变量,然后导致非常未定义的行为 - 使得根本原因难以追踪。 是否有任何方法可以检测/防
有一个 Node.js 项目可以清理数据,还有一个用于 JavaScript 的 OWASP 库可以处理清理以防止 XSS。 我一直在对这些库进行基准测试,它们非常密集,可能有点矫枉过正,我的应用程序
我的情况有点不同,我正在使用 CKEditor 进行编辑和显示,提交的字符串只会在 CKEditor 中显示,不会显示在其他任何地方。 我试过这个 XSS: alert("XSS")"> 我直接从后端
这个问题已经有答案了: How can I prevent a click on a '#' link from jumping to top of page? (25 个回答) 已关闭 5 年前。
通过对代码进行审查,可以轻松地识别和消除无效代码,但是,对于图像-未使用的图像仍会进入我们的版本控制。是否有任何组织图形内容的干净方法,以便网页和图像文件之间存在直接关联? 在我们当前的项目中,我们使
在我们的项目中,为了防止 XSS,我们添加了过滤器 (HttpServletFilter),它可以简单地转义 Json 中所有出现的“”(包装用户输入),例如: json = json.replace
我使用 Java JNI Gdal 。有一些服务器端应用程序构建在 JNI 绑定(bind)之上。如果 JNI 部分出现错误,整个 JVM 堆栈就会崩溃。 测试 C/C++ 库不包含会导致 JVM s
黑客通过 SQL 注入(inject)并运行虚假查询来攻击我的网站,如何防止他们需要帮助。 是否有任何防火墙可以防止黑客攻击等,或者我应该使用mysql_real_escape_string($_RE
我目前正在处理一个遗留的 ASP 项目,其中安全性现在已成为一个大问题。它不仅是不安全的加密方法(md5),而且我担心 SQL 注入(inject)问题。我还不太擅长注入(inject),而且我只尝试
我有兴趣了解如何在我的 ColdFusion 9 应用程序中防止跨站点请求伪造 (CSRF)。我在网上找到了一些教程,但似乎没有一个是全面的。我发现的最好的是:http://www.mollerus.
这个问题不太可能对任何 future 的访客有帮助;它只与一个较小的地理区域、一个特定的时间点或一个非常狭窄的情况相关,通常不适用于全世界的互联网受众。如需帮助使此问题更广泛适用,visit the
我们的应用程序面临 XSS 攻击的问题。我们通过对 GET 请求使用普通过滤器来防止这种情况发生。 我们正在使用 RESTEasy REST Web 服务调用我们的应用程序。我们的过滤器不会过滤表单
我已经读过带有 2 个参数的 open() 命令容易被注入(inject),而带有 3 个参数的 open() 命令不能被注入(inject)。 说我有一个目录,我的所有文件都有一个公共(public
你好, 我正在尝试使用 CKEditor(一个 javascript WYSIWYG 编辑器)防止输入字段中的 XSS 和不正确的 html。 我应该如何在服务器端过滤这些数据?我比较的两个选项是 P
我刚刚了解了 CSRF 预防的细节。在我们的应用程序中,所有“写入”请求都是使用 XHR 完成的。整个页面实际上并没有提交任何一个表单,一切都是通过 XHR 完成的。 对于这种情况,维基百科建议 Co
据我所知,CSRF 预防似乎侧重于 (1) 使 GET 请求无副作用,以及 (2) 仅使用带有 CSRF token 的 POST 请求来更改状态。但在我看来,这假设攻击者的唯一目标可能是恶意更新受害
已关闭。此问题不符合Stack Overflow guidelines 。目前不接受答案。 已关闭 9 年前。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来
我是一名优秀的程序员,十分优秀!