小编Chr*_*ris的帖子

我无法从fetchAll获取数据以便有选择地进行打印.

在普通的mysql中我这样做:

$rs = mysql_query($sql);
while ($row = mysql_fetch_array($rs)){
   $id = $row['id'];
   $n = $row['n'];
   $k = $row['k'];
}

在PDO中,我遇到了麻烦.我绑定了params,然后我将获取的数据保存到$ rs中,就像上面一样,目的是以相同的方式循环它.

$sth->execute();
$rs = $query->fetchAll();

麻烦的部分来了.我该怎么做PDO-wise来获得与上面的while循环相匹配的东西？!我知道我可以使用print_r()或dump_var,但这不是我想要的.我需要做我以前能用普通mysql做的事情,比如根据需要单独抓取$ id,$ n,$ k.可能吗？

提前致谢..

我已经遇到了一个教程(如果我可以添加,那?>是一个有信誉的教程),其中省略了关闭的php标记.这让我想起了之前的教程,其中作者说最好不要关闭标签,但没有解释原因.我有点惊讶,我认为关闭标签是更好的做法.为什么最好不要关闭它,只是一直或仅在特殊情况下.

我有一个网站注册页面,我正在尝试编制一份我需要做的保护它的列表.如果您知道攻击,请将其命名,并简要描述一下,并简要说明其解决方案.所有有用的答案/评论都会获得投票.

以下是我到目前为止的想法:(并添加其他人的建议.Phew,添加其他输入结果是很多工作,但请保持他们的到来,我会继续在这里添加)

• SQL注入:来自用户输入日期.解决方案:预备报表.

• [AviD]"存储过程还提供额外的好处(上面准备的语句),例如对数据库的最小特权的能力"

  • 好点,请解释一下.我认为存储过程与准备好的语句相同.我的意思是那些语句是bindParam变量.他们不一样吗？

• 在进入db之前不对密码进行哈希处理.解决方案:哈希密码.

• [AviD]"重新散列,密码需要一个盐(在散列之前添加密码的随机值),以防止彩虹表攻击和同一密码攻击."
• "每个用户使用的盐应该不同."
  • 好的,我对此有疑问:我知道盐应该是随机的,但也是独一无二的.我们如何建立独特的部分来对抗同一密码攻击？我一直在读这个,但还没有得到明确的答案.
• [Inshallah]"如果你使用长盐,比如16个字符用于SHA-256(5美元)那么你真的不需要验证它的独特性"

• [Inshallah]"实际上,我认为是否存在一些冲突并不重要.盐只是为了防止查表,所以即使有2个盐也会是(小)增益,即使有我们不是在谈论一个绝对不能重复的加密随机数.但我不是一个密码分析者"

  • 好点,但有人在这一点上有免责声明吗？

• Dos攻击？!(我猜这也适用于注册表格)

• [Pascal Thivent]"在提交敏感数据(如密码)时使用HTTP." "对于中间人攻击,只要使用足够的密码套件"

  • 这里提到的"适当的密码套件"是什么？

• [Koosha]"在客户端使用MD5和Javascript进行submition之前使用HTTP或加密密码."

  • 我不同意MD5并且不喜欢在客户端加密,对我来说毫无意义.但欢迎其他投入.

• [Dan Atkinson]排除某些用户名以防止与具有相同名称的现有页面发生冲突(请参阅原始帖子以获取完整答案和解释)

• [Koosha]"限制用户名允许的字符.例如字母和数字,短划线( - )和点(.)"
  • 请详细说明原因？
• [Stu42]"使用验证码,以便机器人无法自动创建多个帐户"
• [AviD]"有比验证码更好的解决方案,但对于低价值的网站来说,它已经足够好了."
  • @AviD,请举一个例子？

• [rasputin]"使用电子邮件验证"

• [安德鲁和epochwolf] xss攻击

  • 虽然我不同意安德鲁和epochwolf简单过滤<和>或转换<to&tl; 和>到>.大多数意见建议像HTMLpurifier这样的库.有什么输入吗？

我正在寻找一种自动模糊我的应用程序或扫描它的漏洞的方法.请假设我的黑客知识是0.此外,源是在我的本地主机上所以我需要一种方法在本地模糊它而不依赖于互联网连接.一些安全专家可以给我一些提示或建议吗？我不确定哪种选择最好.

编辑:

感谢您努力回答,但到目前为止似乎都没有说明问题.我想更具体(因为它有助于提问)但不影响我的意见,或者听起来像我在宣传一个特定的产品.我正在寻找像马鹿这样的东西(很遗憾提到名字,但不得不,因为答案到目前为止,学习sql注射,xss等显然不是真正的"专家"这个问题的答案.我已经知道这些(认真,这个问题听起来像是一个不了解安全问题的人会问的吗？)

我不是在问我是否应该测试,我在问我应该怎么测试.我已经决定采用自动化(除非有人给我一个证明它没用的专家答案,否则这个决定没有回头路),所以请尊重我想要自动化的决定.我不想通过每个编译的xss,sql注入等黑客列表,并自己手动尝试对我的网站(甚至黑客不破解这种方式).获得问题的任何人都可获得超级额外积分.

有些人问为什么不学习. 最好的做法(我知道)与了解黑客行为不同.有些人想说他们是一个翻转硬币,但我绝对不同意:)因此我需要一个具有"黑客心态"的人的保护工具.事实上,你应该怎么做才会受到伤害;)专家的答案请来自那些知道的人.

感谢您的回顾,所有真诚有用的答案都被投票赞成.我有一些日期输入字段,当页面加载时,存在一堆动态生成的字段.每次生成新实例时,我都不会在该类上调用.datepicker(),而是使用.live,但它似乎不起作用.知道为什么吗？

$("input[name=myfav]").live("click", function(){
    $(this).datepicker({ 
        /* some options here */ 
    });
});

我应该提一下,例如,自动完成功能完全正常.

$("input[name=mytwo]").live("click", function(){
    $(this).autocomplete("somefile.php");
});

当我们说字典攻击时,我们并不是真正的字典,是吗？我猜我们是指一个黑客的字典,即彩虹表,对吗？

我的观点是,我们不是在谈论别人的密钥不同的密码进入登录框,我们在谈论谁的人有完全访问你的数据库(已哈希密码,而不是普通的密码)和这个人扭转哈希,右？

我有一些PHP源代码,我正在托管公司XYZ托管.我正在使用像Zend Guard或ionCube这样的PHP加密软件来保护源不被任何人查看(系统管理员或破解系统管理员的黑客).

• 对完全访问系统的人(如系统管理员或破解系统管理员的黑客)解密源是多么容易/困难？我不知道加密软件是如何工作的,但我假设他们使用了一些密钥,这些密钥必须留在服务器上,因此系统管理员或黑客都可以访问.如果您在技术上了解操作方法,请不要犹豫,在答案中提供解释.

• 使用此类源加密是否会降低网站的速度？如果有人有第一手经验或知道有第一手经验的人;)

我对这方面的技术方面感兴趣,加密的有效性如何......以及使用它们或考虑使用它们的人的缺点

谢谢(所有有用的答案/评论已经投票)

编辑:迄今为止的答案似乎忽略了我想要了解的内容.我试图了解加密的有效性.我真的没有任何代码需要保护好坏人,以上只是一个例子,所以像开源或聘请律师这样的建议并没有真正解决我的技术好奇心...... A +对任何得到这一点的人来说

我知道使用PHP框架的好处(不是第一手,只是通过阅读SO等)但我没有听到的是框架所需的"学习"量.使用框架时,您可以将控制权交给新框架,您必须"忘掉"许多内容,并按照新框架的要求重新学习它们.这是真的吗？当涉及到这种学习方面时,哪个框架最灵活？

我的目标是提供2个图像文件,并获得关于这2个文件是否可以相同(在可接受的确定程度内)的真/假响应.

我意识到这个问题属于人工智能,并且比它看起来要复杂得多,所以我非常怀疑自己能够(或者甚至想要)做到这一点.我正在寻找的可能是图书馆或班级.我正在使用PHP.

提前致谢..

所有有用的答案/评论都会被投票.

更新:

我想知道我是否过于复杂,也许像imageMagick(imagick)这样的更通用的库可以完成它吗？谁对imageMagick更有经验？

我正在尝试改进我的jquery/javascript语法.有没有更好的方法来写这个？

if (ok)
    var mymsg   = '<p id="ok-box">'
                +   "You're good to go"
                + '</p>';
}else {
    var mymsg   = '<p id="not-ok-box">'
                +   "Error"
                + '</p>';
}

我在想如果jquery/javascript具有与以下PHP语法类似的语法,那就太棒了:

$mymsg = ($ok) ? "You're good to go" : "Error";