xiaodisec day015

简介: Day15 PHP基础探讨登录验证,涉及COOKIE & SESSION用于用户状态管理。Cookie在客户端,易被篡改,安全隐患包括本地伪造和XSS攻击。Session存储于服务器,安全些,但若一方断开,会话结束。数据库密码通常MD5加密。同时讨论了SQL注入、验证码抵抗爆破和重放攻击的安全议题。

day15

还是基础的Php开发
看来是比较基础的

主题:登录验证

COOKIE & SESSION

后台系统有多个验证
为了方便验证使用cookie或session

类似于用户状态管理?

cookie存储在客户端
session存储在服务器内

当然,既然有cookie 和 session 就可以有操作空间

数据库存的密码一般是用md5加密的

cookie安全:

  • 本地篡改即可伪造访问
  • 使用xss执行js脚本获得目标的cookie

session安全:

  • 有一方挂断,两方结束会话
  • 每一次建立会话会使用新sessionID

万能密码与sql注入

验证码与爆破

重放攻击

相关文章
|
6天前
|
人工智能 弹性计算 算法
一文解读:阿里云AI基础设施的演进与挑战
对于如何更好地释放云上性能助力AIGC应用创新?“阿里云弹性计算为云上客户提供了ECS GPU DeepGPU增强工具包,帮助用户在云上高效地构建AI训练和AI推理基础设施,从而提高算力利用效率。”李鹏介绍到。目前,阿里云ECS DeepGPU已经帮助众多客户实现性能的大幅提升。其中,LLM微调训练场景下性能最高可提升80%,Stable Difussion推理场景下性能最高可提升60%。
124915 206
|
6天前
|
人工智能 物联网 PyTorch
8卡环境微调Grok-1实战
SWIFT(Scalable lightWeight Infrastructure for Fine-Tuning)是魔搭ModelScope开源社区推出的一套完整的轻量级训练推理工具,基于PyTorch的轻量级、开箱即用的模型微调、推理框架,让AI爱好者用自己的消费级显卡就能玩转大模型和AIGC。
|
6天前
|
监控 Kubernetes Docker
【Docker 专栏】Docker 容器内应用的健康检查与自动恢复
【5月更文挑战第9天】本文探讨了Docker容器中应用的健康检查与自动恢复,强调其对应用稳定性和系统性能的重要性。健康检查包括进程、端口和应用特定检查,而自动恢复则涉及重启容器和重新部署。Docker原生及第三方工具(如Kubernetes)提供了相关功能。配置检查需考虑检查频率、应用特性和监控告警。案例分析展示了实际操作,未来发展趋势将趋向更智能和高效的检查恢复机制。
【Docker 专栏】Docker 容器内应用的健康检查与自动恢复
|
1天前
|
关系型数据库 分布式数据库 数据库
【PolarDB开源】PolarDB-X源码解读:分布式事务处理机制揭秘
【5月更文挑战第20天】PolarDB-X,PolarDB家族的一员,专注于大规模分布式事务处理,采用2PC协议保证ACID特性。源码解析揭示其通过预提交、一致性快照隔离和乐观锁优化事务性能,以及利用事务日志进行故障恢复。深入理解其事务处理机制对开发者掌握分布式数据库核心技术至关重要。随着开源社区的发展,更多优化方案将涌现,助力构建更强大的分布式数据库系统。
35 6
|
1天前
|
存储 监控 供应链
一款数字化管理平台源码:云MES系统(附架构图、流程、)
制造生产企业打造数字化生产管控的系统,从原材料、生产报工、生产过程、质检、设备、仓库等整个业务流程的管理和控制,合理安排生产计划、实时监控生产、优化生产工艺、降低不良产出和运营成本;
37 8
一款数字化管理平台源码:云MES系统(附架构图、流程、)
|
5天前
|
Go
@FeignClient(name = "RemoteRegister", url = "${register-config.url}") 方式如何获取如何获取完整的响应对象
【5月更文挑战第13天】@FeignClient(name = "RemoteRegister", url = "${register-config.url}") 方式如何获取如何获取完整的响应对象
22 6
|
6天前
|
自然语言处理 物联网 Swift
联合XTuner,魔搭社区全面支持数据集的长文本训练
XTuner和魔搭社区(SWIFT)合作引入了一项长序列文本训练技术,该技术能够在多GPU环境中将长序列文本数据分割并分配给不同GPU,从而减少每个GPU上的显存占用。通过这种方式,训练超大规模模型时可以处理更长的序列,提高训练效率。魔搭社区的SWIFT框架已经集成了这一技术,支持多种大模型和数据集的训练。此外,SWIFT还提供了一个用户友好的界面,方便用户进行训练和部署,并且支持评估功能。
|
6天前
|
Linux Perl
Linux系统的文本处理
Linux系统的文本处理
|
6天前
|
存储 JavaScript 前端开发
xiaodisec day014
Day 14 概要:学习PHP全局变量`$_SERVER`和MySQL的`INSERT`语法。讨论了HTML表单提交、PHP连接数据库及使用`LIKE`进行模糊查询。了解了PHP的连接符号`.`及XSS风险,如输入JavaScript代码可能导致执行。视频展示了创建留言板。讨论了存储型和反射型XSS,举例说明了JS代码如何在搜索执行或存储后触发。`$_SERVER`变量用于获取访问信息,如通过`HTTP_REFERER`获取请求来源和分析IP请求中的`X-FORWARDED`头信息。
|
6天前
|
数据可视化 数据挖掘 Serverless
数据推送上线 ,抢先体验,欢迎来用! 支持钉钉!
大多数业务都会有定期推送业务信息至钉钉、飞书、Teams 群的需求,有些信息要推三个群、要推两个群、有些信息要 at 人、有些要当天、有些要当月,不旦要管理多个推送的 Webhook,还要管理推送的内容、监控推送是否生效等等,DataWorks 新推出的数据推送能减轻以上问题,还能助力快速完成推送内容开发,支持规范的上线流程。
67 5