你好我试图植入类似static.domain.com我们可以把我们的图像没有cookie的地方。但问题是即时通讯服务通过PHP我的形象。这样如何实现无cookie的域或请求?
public function getIMG($img)
{
if (! file_exists("www-static". DS ."assets". DS ."images". DS . $img)) {
throw new Exception("No such img as $img");
}
$img = "/image-static". DS ."assets". DS ."images". DS . $img;
echo '<img src="' . $img . '" />';
}
我们仍然可以植入他们?也许使用php cookie_set,并以某种方式清除所有的cookie?但如果我正确的话,我会害怕它的一部分与会议。
这里是来自萤火虫的要求。
你有什么散列函数用来生成会话ID吗?这是猥亵的漫长和不必要的。 – Charles 2011-03-08 06:46:34
512散列。 (我知道它的过度杀伤力),但我的团队已经考虑过它(安全性高于性能),这就是为什么我们试图将性能提高到其他地方,比如提供足够好的静态内容。 etc. – 2011-03-08 06:51:21
如何防止恶意字符注入'$ img'参数?如果攻击者提供像'“../../../../../ config/database.conf”或“../../../../”这样的'$ img', ./var/lib/mysql/databasename.db“'这段代码将很高兴地给攻击者提供你的数据库用户名/密码或数据库或其他应该保持私有的数据。 – sarnold 2011-03-08 06:59:28