cywin колотят команду сценария, не найденную при вызове от пакета
я должен генерировать этот код с помощью своего рода алгоритма?
номер это будет предсказуемо.
Или я должен случайным образом генерировать его?
Да. Используйте криптографический случайный генератор или позвольте пользователю выбрать их собственный PIN.
В цифрах теории 4 будет много, поскольку эмитентам карты ATM удается поддерживать очень многочисленное сообщество только с, что (и очевидно, они не могут быть и не должны быть уникальными). Однако в этом случае необходимо ограничить количество попыток введения PIN-кода и заблокировать их после этого много попыток, как банки делают. И необходимо также заставить пользователя предоставлять идентификатор пользователя (в случае ATM, это находится эффективно на карте).
, Если Вы не хотите ограничивать их таким образом, может быть лучше угробить идею PIN и использовать стандартный пароль (который является по существу, каков Ваш PIN, только с очень коротким и ограниченным набором символов). Если абсолютно необходимо ограничить его численными данными (потому что у Вас есть клавиатура PIN, или что-то) тогда рассматривают создание 4 (настраиваемая) минимальная длина, а не фиксированная длина.
Вы не должны хранить PIN в ясном нигде (например, соль и хешировать его как пароль), однако, учитывая короткий отрезок, и ограничил символьный набор, это всегда будет уязвимым для поиска грубой силы, учитывая простой способ проверить его.
существуют различные другие схемы, которые могут использоваться также, если можно сказать нам больше о требованиях (действительно ли это - веб-приложение? встроенная система? и т.д.).
4 ответа
Что касается клиентского скрипта, я думаю, что вопрос безопасности - это спорный вопрос. Все, что загружается в браузер, может быть изменено и должно рассматриваться как таковое. Нет никакого риска в использовании оператора eval (), когда есть гораздо более простые способы выполнения кода JavaScript и / или манипулирования объектами в DOM, такими как строка URL-адреса в вашем браузере.
javascript:alert("hello");
Если кто-то хочет манипулировать своей DOM, Я говорю, уходи прочь. За безопасность для предотвращения любого типа атак всегда должно отвечать серверное приложение, точка.
С прагматической точки зрения нет никакой пользы от использования eval () в ситуации, когда все можно сделать иначе. Однако в некоторых случаях СЛЕДУЕТ использовать eval. В таком случае это определенно можно сделать без риска взорвать страницу.
Как уже было сказано, вам нужно добавить двоичные файлы Cygwin в свой путь. Для этого щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства», затем «Дополнительно», затем «Переменные среды».
Создайте новую переменную среды с именем «CYGWIN_HOME» и значением «C: \ cygwin» ( или где бы вы ни установили cygwin. Местоположение по умолчанию - «C: \ cygwin \», так что это, вероятно, должно сработать для вас).
Затем отредактируйте переменную среды с именем «PATH» и добавьте следующее до конца:
;% CYGWIN_HOME% \ bin;% CYGWIN_HOME% \ sbin;% CYGWIN_HOME% \ usr \ bin;% CYGWIN_HOME% \ usr \ sbin;% CYGWIN_HOME% \ usr \ local \ bin;% CYGWIN_HOME% \ usr \ local \ sbin 1230] Закройте командную строку, а затем снова откройте ее. Бинарные файлы cygwin теперь должны быть доступны. Вы можете еще раз проверить это, набрав "
Если этот сценарий вызывается из командной оболочки Windows, первая строка приведет к ошибке, поскольку #! / Bin / bash не является распознанной командой Windows, а # не является допустимым разделителем комментариев в пакетном файле.
Итак, суть в том, что этот сценарий запускается как обычный пакетный файл, а не изнутри Cygwin bash . Как отметил matt b , у вас, вероятно, нет пути к исполняемому файлу Cygwin в переменной среды PATH. Без этого