我问这个问题是因为我为一群相当孤立的人(不超过80人)维护了一个小网站。它目前具有简单的登录功能(电子邮件,密码),受"保护"的数据只是我们会员的联系信息(电话,地址,电子邮件)。该网站是用PHP编写的,并使用My SQL。
在过去的几天里,我一直在阅读有关网站安全的论坛和其他网站,因为我想在我们的网站上增强它。目前,安全性包括SQL注入保护和存储在数据库中的MD5散列密码。这感觉有点不够,但我也觉得很容易走得太远。我的意思是,这里不完全是核发射代码,但人们通常觉得在网上显示的数据不舒服。该网站本身由一个相当著名的网络主机托管。
我现在能看到的唯一威胁是恶作剧者偶然发现该网站并尝试他们的一些自制混合物?
所以我认为中间的某个地方就足够了。喜欢
- SQL 注入保护(必要时增强)
- 使用盐的更强哈希方法
- XSS 保护
- DDoS 防护
- 访问会员区时的 SSL
你更有经验的人怎么看?
更新:我想补充一点,我自己做所有事情,没有预算购买花哨的加密技术或雇用专业程序员。
要增强 SQL 注入的安全性,您必须查看:
- 防止 SQL 注入的最佳方法
它会告诉你使用PDO,参数化查询。
要了解一般安全问题,请参阅这篇文章,其中涵盖了很多内容:
- PHP Security Guide (PHP Security Consotium)
方法审核站点的安全性:
- 奥瓦斯普
和
- PHPSec
phpSec 是一个开源的 PHP 安全库,负责 Web 开发人员面临的常见安全任务。
将 CSRF 漏洞防护添加到安全列表中
您也可以添加远程文件包含。