Questions marquées «security»

Sujets relatifs à la sécurité des applications et aux attaques contre les logiciels. Veuillez ne pas utiliser cette balise seule, ce qui crée une ambiguïté. Si votre question ne concerne pas un problème de programmation spécifique, veuillez plutôt la poser à Information Security SE: https://security.stackexchange.com

7
Pourquoi Google ajoute-t-il avant (1); à leurs réponses JSON?
Pourquoi Google ajoute-t-il while(1);à ses réponses JSON (privées)? Par exemple, voici une réponse lors de l'activation et de la désactivation d'un calendrier dans Google Agenda : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Je …
4079 javascript  json  ajax  security 
28
Comment puis-je empêcher l'injection SQL en PHP?
Les réponses à cette question sont un effort communautaire . Modifiez les réponses existantes pour améliorer ce post. Il n'accepte pas actuellement de nouvelles réponses ou interactions. На этот вопрос есть ответы на Stack Overflow à partir de : Каким образом избежать SQL-инъекций в PHP? Si l'entrée utilisateur est insérée …
26
Comment dois-je aborder le stockage des mots de passe des utilisateurs de manière éthique pour une récupération ultérieure du texte en clair?
Verrouillé . Cette question et ses réponses sont verrouillées car la question est hors sujet mais a une signification historique. Il n'accepte pas actuellement de nouvelles réponses ou interactions. Alors que je continue de créer de plus en plus de sites Web et d'applications Web, on me demande souvent de …
7
Les instructions préparées par PDO sont-elles suffisantes pour empêcher l'injection SQL?
Disons que j'ai un code comme celui-ci: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); La documentation PDO indique: Les paramètres des instructions préparées n'ont pas besoin d'être cités; le conducteur s'en charge pour vous. Est-ce vraiment tout ce …
14
Pourquoi OAuth v2 a-t-il à la fois des jetons d'accès et d'actualisation?
La section 4.2 du projet de protocole OAuth 2.0 indique qu'un serveur d'autorisation peut renvoyer à la fois un access_token(qui est utilisé pour s'authentifier avec une ressource) ainsi qu'un refresh_token, qui est utilisé uniquement pour créer un nouveau access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Pourquoi avoir les deux? Pourquoi ne pas simplement faire le …
4
Injection SQL qui contourne mysql_real_escape_string ()
Existe-t-il une possibilité d'injection SQL même lors de l'utilisation de la mysql_real_escape_string()fonction? Considérez cet exemple de situation. SQL est construit en PHP comme ceci: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; J'ai entendu de nombreuses personnes me dire qu'un code comme …
4
Comment bcrypt peut-il avoir des sels intégrés?
L'article de Coda Hale «Comment stocker un mot de passe en toute sécurité» affirme que: bcrypt a des sels intégrés pour empêcher les attaques de table arc-en-ciel. Il cite cet article , qui dit que dans la mise en œuvre d'OpenBSD de bcrypt: OpenBSD génère le sel bcrypt 128 bits …
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.