个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
可能下面的都不太合理,但是想弄清楚并理解。
目的是保护记录在 mysql 中的电子邮件地址和电话号码。如果黑客获取数据库,则更难获取真实电子邮件
决定这样做
1) 在 webroot 之外放置一些文本文件
2) 在 php 中 $content_of_some_file = include '/wamp/some_file.txt';
3) 插入用户(电子邮件)VALUES (AES_ENCRYPT('someemail@example.com', $content_of_some_file));
但是如果黑客可以访问mysql,那么访问php文件并使用echo $content_of_some_file;就没有问题。获取 key 并SELECT AES_DECRYPT(email, 'key')
有什么办法可以预防吗?有可能吗?如果不可能,那么上述一切几乎都是不合理的......
目标如下:
1) 网站访问者想要向某个用户发送消息
2) 访问者在输入字段中输入消息,点击发送
3)我从mysql获取用户的电子邮件并将消息发送到电子邮件
想要阻止:
黑客获取 mysql 的内容并想要获取电子邮件来发送垃圾邮件(黑客看到的不是实际的电子邮件,而是一些无法理解的内容)。黑客想要转换为实际的电子邮件。
黑客还可以访问 php 文件。在其中一个 php 文件中,黑客插入代码来查看 $content_of_some_file (放置在 webroot 之外的 key )。
使用 key ,黑客AES_DECRYPT并获取实际的电子邮件。
是否可以不让黑客看到$content_of_some_file(放置在Webroot之外的 key )?
尝试使用 php DEFINE
如果在 webroot 外部的文件中插入 define("GREETING","Hello you! How are you Today?");
并在 webroot 内的文件中仅插入 echo const("GREETING");我可以看到常量GREETING的内容。因此,如果黑客插入这样的代码,他就可以看到AES_DECRYPT的 key 内容并解密电子邮件。
似乎必须将 php 文件(目录)设置为不可写...黑客无法插入代码,也无法上传文件。并且无法直接访问位于 webroot 之外的文件。这将是某种措施......
似乎还需要混淆部分 php 代码,以便黑客无法从代码中获知变量和文件名。
最佳答案
如果某些文件的内容只是一个盐,如上面所示,您可以使用 salt (字符的随机集合)位于任何地方。
这样,有问题的黑客就必须存在于您的 PHP 代码中并且具有数据库访问权限。从实际使用情况来看;如果使用列表,盐必须有某种引用。
define('SALT', 'iuoerghiuowerbnfcuioq3hrj980127yu589734754-12j84903q24fyjrm03qwy4ruw');
INSERT into users (email) VALUES (AES_ENCRYPT('someemail@example.com', SALT));
由于salt是不可更改的密码,因此mysql中的条目可以使用AES_DECRYPT与salt一起返回为可读
SELECT AES_DECRYPT(email, SALT)
WHERE user_id = 'recipient_id'
FROM users
Limit 1;
请注意,在这两种情况下,您都需要转义 mysql 字符串,以便插入实际的盐作为密码,否则您实际上将使用 SALT 作为密码。
另一种选择是使用现成的类,例如 here 中发现的类。这将允许您在 PHP 中对条目进行编码,完全忽略数据库。
更新以反射(reflect)在网络根目录之外保留盐
为了允许 PHP 访问 Web 根目录之外的路径,您需要查找 basedir directive 。例如:
open_basedir = /srv/http/:/path/to/where/you/keep/salt/
这将 web_root 和另一个路径声明为可由 PHP 访问,请注意中间的分号。现在,您使用盐在该路径中创建一个文件:
/path/to/where/you/keep/salt/salt.php
<?php $strSalt = 'hideouslylongandobscurestring'; ?>
通过该设置,您打算在要使用代码的位置(而不是之前使用的定义)替换为以下内容:
include('/path/to/where/you/keep/salt/salt.php');
INSERT into users (email) VALUES (AES_ENCRYPT('someemail@example.com', $strSalt));
但是,如果相关黑客可以访问您的文件,他们可以简单地找到此包含并提取盐。如果您的数据库和主机都受到威胁,那么确实没有简单的 Elixir (包治百病)。
如果您确定需要更简单的东西并且愿意走极端,那么您实际上正在考虑一种设置,其中您可以在场外生成盐(基于用户帐户标准)并通过 OAuth 等安全方式进行传递对于授权部分。此时,当您只想加密电子邮件地址并且超出了本问题的范围时,您确实开始为自己找麻烦了。
希望这篇深思熟虑的文章能有所帮助
关于php, linux 是否可以防止回显位于 webroot 之外的文件内容?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28536801/
26
4
0
问题是标签 我看过我正在编写的一个脚本,并使用了它: echo (""); ........ echo (""); 它到底做了什么? 它是 Html 标签还是 PHP? 我在 Google 上进行了
我正在创建一个结帐系统。我分为三个部分: 送货信息 付款信息 订单确认 我正在尝试找出一种方法,当客户输入他们的送货信息时,该数据可以回显到我的订单确认部分,这样他们就可以确认这是他们想要将其运送到的
我正在 MYSQL 表上运行 SELECT 代码 我有一个 MYSQL 表: CREATE TABLE mytable ( wf_id int(11) UNSIGNED NOT NULL, sessi
我想要做的是回显页面顶部的内容,同时捕捉页面底部的内容。 这是我的脚本: Westpop Wachtwoord moet minstens 8 tekens lang
我在将选择列表放在 HTML 中时遇到了一些困难,其中的选项或值是从数据库中的表中检索的。我得到以下结果: 如您所见,这不是我的本意,我宁愿将所有选项都放在 1 个选择列表中,并且可以单击多个选项。
我的代码有问题。我有这段代码: Title Welcome loggedin:
我需要使用 PHP 仅回显 .txt 文件中的选定行。txt 文件内容如下所示: 1 111 111 111 111 111 111 111 111 111 111 2 196 182 227 190
我需要使用 PHP 仅回显 .txt 文件中的选定行。txt 文件内容如下所示: 1 111 111 111 111 111 111 111 111 111 111 2 196 182 227 190
我想从 PHP 回显一些 HTML,其中包含一个链接,上面有文本“ ' '; 最佳答案 如果您想显示文字小于号,请根据 HTML 规范将其编码为 <。 您可能还想查看另一个相关实体:«。这会产生一个
如果我从名为 categories 的 mysql 表中调用链接列表,我想我使用的选择语句如下: $query = "SELECT cat_name, cat_description FROM c
所以,伙计们,我的问题是我正在从一个 mysql 列创建一个数组,但是,当我回显数组项时,它什么也没返回,我有一段时间没有看到一个可能的错误,希望能得到一些帮助。这是我的代码:(我知道 mysql 到
在下面的代码中,我在 php 文件中回显了 $strXML,它显示了整个 $strXML,但我只想在 javascript 中显示“名称”元素值。谁能帮帮我? PHP: $strXML = ''."\
我有一节课用这段代码 public boolean busybox() throws IOException { try { Process p =Ru
我有一个 SQL 查询,出于安全目的,我最近将其转换为准备好的语句。我有一个查询返回许多行,每行由许多列组成。我的问题是如何使用 while 循环回显结果。到目前为止我的例子: $stmt = $co
我尝试这样的事情: function userrank($userid){ $sql = mysql_query("SELECT * FROM users ORDER BY atacs DES
我正在尝试进行选择查询并将此信息输出到 html 标签中,但是它不断将 php 代码转换为: 我做错了什么?为什么它不返回错误而不是将其转换为上面的错误? 代码 $con = mysqli_conn
抱歉含糊其辞,但我有一个 PHP 脚本,它从数据库中提取数据并显示它,但是它不是输出数据库的内容,而是输出“数组”的次数。 (无法再次工作,脚本已上传 here ),脚本的输出也是 here .)谢谢
我有一个工作代码并将其移动到一个新服务器,从 php5 到 php7。谷歌搜索一周没有帮助我,所以我问你们。 我在 sql 数据库中有一些带有欧元符号的信息: 99.00该信息存储为 utf16-ge
这是我的代码: 0){ $info = mysql_fetch_assoc($result); while($row = mysql_fetch_assoc($result)){
我在查找有关此主题的信息时遇到了一些真正的困难,如果您有任何帮助,我将非常感激。简而言之,我有一个表单,用户可以从下拉列表中选择一个类别,输入一些内容,然后点击提交,然后转到 SQL。下拉列表中的每个
我是一名优秀的程序员,十分优秀!