116 个回复 | 最后更新于 2016-05-17
2016-05-16   #80

肯定不是,跟所见即所得一样都是方便用户的一种方法。

#79 @lincanbin :

回复#78 @ivanilla :

我坚定认为Markdown只是逼格的产物,实际体验远不如所见即所得。

2016-05-16   #81

回复#80 @ivanilla :

不见得是。

2016-05-16   #82

我目前也只是实现了邀请码和像WordPress那样的发送密码到邮箱而已,激活链接还没做。

不过我的密码加密方式是多重的,而且用到了MCrypt库,虽然有些人认为没有必要这样做。

#77 @lincanbin :

回复#76 @ivanilla :

注册邮件确认也未必不会加。

2016-05-16   #83

回复#82 @ivanilla :

用Bcrypt,token当然还是用MD5校验。

2016-05-16   #84

回复#83 @lincanbin :

只有这种一次性的东西才用MD5,MD5和SHA1都不安全,哪怕加盐的(你应该知道有cmd5这个网站)。

我还用到了AES。

2016-05-16   #85

回复#84 @ivanilla :

我知道不安全,但是还是相对性地安全。

2016-05-16   #86

回复#85 @lincanbin :

最安全的是,管理员的信息别放数据库里,放php文件里面。

2016-05-16   #87

回复#86 @ivanilla :

这样并不安全。

一个合格的网站,www用户对于程序自身应该是只能执行不能修改的。

2016-05-16   #88

回复#87 @lincanbin :

把特定文件权限改成400就行了,像drupal等都是这样的。

2016-05-16   #89

回复#88 @ivanilla :

不能特定,应该是整个程序文件都不应该可以被www修改。

2016-05-16   #90

回复#88 @ivanilla :

只要有一个可以改,就存在被攻破后注入木马的可能性。

2016-05-16   #91

回复#89 @lincanbin :

那要看具体情况。

2016-05-16   #92

回复#90 @lincanbin :

所以最好是装个WAF,但是也不能说高枕无忧了,有些过滤不够严格的WAF可以被绕过。

2016-05-16   #93

回复#91 @ivanilla :

从安全角度,配置文件只存常量。

2016-05-16   #94

回复#93 @lincanbin :

对,但是管理员密码可以加密再储存到文件里面。

2016-05-16   #95

回复#92 @ivanilla :

就算有WAF,配置文件也不应该用来存储可变数据。

2016-05-16   #96

回复#95 @lincanbin :

有些程序的配置文件会储存变量的,包括drupal,mediawiki等,不过可能会设置400权限。

2016-05-16   #97

回复#96 @ivanilla :

只要可以通过网站修改配置文件(PHP文件),那就是不安全的。

2016-05-16   #98

回复#97 @lincanbin :

这些都只能手动修改,管理员信息可以保存在单独的文件中。

我上面提到的建站程序是把管理员信息放在用户数据表的。

2016-05-16   #99

回复#98 @ivanilla :

数据就放数据库,不能改的就放常量配置文件。

如果配置文件里存管理员信息明文,那就更傻了。

登录后方可回帖

登 录
信息栏

Carbon Forum是一个基于话题的高性能轻型PHP论坛

下载地址:Carbon Forum v5.9.0
QQ群:12607708(QQ我不常上)

donate

手机支付宝扫描上方二维码可向本项目捐款

粤公网安备 44030602003677号
粤ICP备17135490号

Loading...