随笔分类 - safe
摘要:原文地址:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.htmlOAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主...
阅读全文
摘要:scanner.php:用户名: 密码: ';}elseif(isset(_POST['username']) && isset(_POST['password']) && (md5(md5(_POST['username']).md5(_POST['password']))==$md5)){setcookie("t00ls", $md5, time()+60*60*24*365,"/");echo "登陆 www.2cto.com
阅读全文
摘要:在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不是由服务器控制的,因此你不应当将该变量作为一个信任源。当然登录的时候可以使用验证码来解决,不过其他很多表单提交还是不适宜。下面给出一个防止伪造表
阅读全文