- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
可能下面的都不太合理,但是想弄清楚并理解。
目的是保护记录在 mysql 中的电子邮件地址和电话号码。如果黑客获取数据库,则更难获取真实电子邮件
决定这样做
1) 在 webroot 之外放置一些文本文件
2) 在 php 中 $content_of_some_file = include '/wamp/some_file.txt';
3) 插入用户(电子邮件)VALUES (AES_ENCRYPT('someemail@example.com', $content_of_some_file));
但是如果黑客可以访问mysql,那么访问php文件并使用echo $content_of_some_file;
就没有问题。获取 key 并SELECT AES_DECRYPT(email, 'key')
有什么办法可以预防吗?有可能吗?如果不可能,那么上述一切几乎都是不合理的......
目标如下:
1) 网站访问者想要向某个用户发送消息
2) 访问者在输入字段中输入消息,点击发送
3)我从mysql获取用户的电子邮件并将消息发送到电子邮件
想要阻止:
黑客获取 mysql 的内容并想要获取电子邮件来发送垃圾邮件(黑客看到的不是实际的电子邮件,而是一些无法理解的内容)。黑客想要转换为实际的电子邮件。
黑客还可以访问 php 文件。在其中一个 php 文件中,黑客插入代码来查看 $content_of_some_file
(放置在 webroot 之外的 key )。
使用 key ,黑客AES_DECRYPT
并获取实际的电子邮件。
是否可以不让黑客看到$content_of_some_file
(放置在Webroot之外的 key )?
尝试使用 php DEFINE
如果在 webroot 外部的文件中插入 define("GREETING","Hello you! How are you Today?");
并在 webroot 内的文件中仅插入 echo const("GREETING");
我可以看到常量GREETING
的内容。因此,如果黑客插入这样的代码,他就可以看到AES_DECRYPT
的 key 内容并解密电子邮件。
似乎必须将 php 文件(目录)设置为不可写...黑客无法插入代码,也无法上传文件。并且无法直接访问位于 webroot 之外的文件。这将是某种措施......
似乎还需要混淆部分 php 代码,以便黑客无法从代码中获知变量和文件名。
最佳答案
如果某些文件的内容只是一个盐,如上面所示,您可以使用 salt (字符的随机集合)位于任何地方。
这样,有问题的黑客就必须存在于您的 PHP 代码中并且具有数据库访问权限。从实际使用情况来看;如果使用列表,盐必须有某种引用。
define('SALT', 'iuoerghiuowerbnfcuioq3hrj980127yu589734754-12j84903q24fyjrm03qwy4ruw');
INSERT into users (email) VALUES (AES_ENCRYPT('someemail@example.com', SALT));
由于salt是不可更改的密码,因此mysql中的条目可以使用AES_DECRYPT与salt一起返回为可读
SELECT AES_DECRYPT(email, SALT)
WHERE user_id = 'recipient_id'
FROM users
Limit 1;
请注意,在这两种情况下,您都需要转义 mysql 字符串,以便插入实际的盐作为密码,否则您实际上将使用 SALT 作为密码。
另一种选择是使用现成的类,例如 here 中发现的类。这将允许您在 PHP 中对条目进行编码,完全忽略数据库。
更新以反射(reflect)在网络根目录之外保留盐
为了允许 PHP 访问 Web 根目录之外的路径,您需要查找 basedir directive 。例如:
open_basedir = /srv/http/:/path/to/where/you/keep/salt/
这将 web_root 和另一个路径声明为可由 PHP 访问,请注意中间的分号。现在,您使用盐在该路径中创建一个文件:
/path/to/where/you/keep/salt/salt.php
<?php $strSalt = 'hideouslylongandobscurestring'; ?>
通过该设置,您打算在要使用代码的位置(而不是之前使用的定义)替换为以下内容:
include('/path/to/where/you/keep/salt/salt.php');
INSERT into users (email) VALUES (AES_ENCRYPT('someemail@example.com', $strSalt));
但是,如果相关黑客可以访问您的文件,他们可以简单地找到此包含并提取盐。如果您的数据库和主机都受到威胁,那么确实没有简单的 Elixir (包治百病)。
如果您确定需要更简单的东西并且愿意走极端,那么您实际上正在考虑一种设置,其中您可以在场外生成盐(基于用户帐户标准)并通过 OAuth 等安全方式进行传递对于授权部分。此时,当您只想加密电子邮件地址并且超出了本问题的范围时,您确实开始为自己找麻烦了。
希望这篇深思熟虑的文章能有所帮助
关于php, linux 是否可以防止回显位于 webroot 之外的文件内容?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28536801/
我正在使用 javascript 并有以下类: const Product = require('../models').Product class ProductService { cons
我正在开发一个简单的应用程序,宠物用户可以在其中创建关于他们宠物的板并在板上显示图片。 我正在尝试创建一个功能,用户可以点击他们的图板,将他们重定向到他们的图板,该图板将显示他们所有的宠物图片。 当我
我有这样的事情:循环遍历 ids,并对每个 ids 向服务器(同一域)发出 ajax 请求 (async:true) 并将接收到的数据附加到 DOM 元素。这不是一项艰巨的任务,它确实有效。示例代码:
我正在尝试使用 Pillow 在我的网络应用程序中添加用户可上传的图像。我创建了一个 Django Upload 模型并将其注册到 Admin 中。当我使用管理控制台添加照片后,我收到以下错误。最初该
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
说到 UINavigationBar 时我有点困惑。我以编程方式设置它,它的作用是将我的 viewController 向下推(因此在启动应用程序后看不到 Storyboard中看到的 View 底部
我有以下查询,它可以满足我的要求,并显示从出生日期转换而来的人们的年龄。但我现在想通过说大于或小于这些年龄来缩小结果范围,但我不知道该怎么做。 SELECT u.`id` as `user_id`
我有一个 ListView (不是 recyclerView),其中每一行都有一个按钮、几个 TextView 和一个 EditText。单击特定按钮(“editTremp”)后,我希望 EditTe
我的 cellAtIndexPath 中有一个查询。正如常见的那样,此查询从单元格行索引处的数组中获取对象。我想知道每次加载 tableView 时是否只有一个查询,还是将其算作每个 indexPat
我目前正在探索 http://www.ecovivo.be/rubriek/food 上使用的模板中的错误. 问题:访问该链接时,您会注意到右侧有一个带有内容的大型 float 图像。现在一切正常。但
我在 ViewController 之间通过引用传递特定模型的数组。 如果我更改数组中特定元素的任何值,它会在所有 ViewController 中很好地反射(reflect),但是当我从该数组中删除
svg 包含更多元素,其中之一是下拉选择器。我遇到的问题是选择器只能在其顶部边缘被点击,而不能在选择器的其他任何地方被点击。 选择器称为 yp-date-range-selector。在下一张图片中,
我的元素使用 20 行 20 列的 css 网格布局(每个单元格占屏幕的 5%)。其中一个页面有一个按钮。最初该页面包含在网格第 5-8 列和网格第 6-9 行中,按钮本身没有问题,但我需要将其居中放
我想使用 CSS Trick 使图像居中.但是如果图像大小是随机的(不固定的)怎么办。令人惊讶的是,我不想保持图像响应,我想在不改变其宽度或高度(实际像素)的情况下将图像置于中心。 下面是我的代码:
我正在尝试在网址之间进行路由。产品是一个类: from django.db import models from django.urls import reverse # Create your mo
我正在通过查看 Django 教程来制作网站。我收到一个错误: NoReverseMatch at /polls/ Reverse for 'index' with no arguments not
我一直在试用 Django 教程 Django Tutorial Page 3并遇到了这个错误 "TemplateDoesNotExist at /polls/ " . 我假设问题出在我的代码指向模板
我有一个应用程序,其中大部分图像资源都存储在单独的资源包中(这样做是有正当理由的)。这个资源包与主应用程序包一起添加到项目中,当我在 Interface Builder 中设计我的 NIB 时,所有这
我使用 Xcode 6.3.2 开发了一个 iPad 应用程序。我将我的应用程序提交到 App Store 进行审核,但由于崩溃而被拒绝。以下是来自 iTunes 的崩溃报告。 Incident Id
我正在使用以下内容来显示水平滚动条: CSS: div { width: 300px; overflow-x: scroll; } div::-webkit-scrollbar {
我是一名优秀的程序员,十分优秀!