我问这个问题,因为我为一群相当孤立的人(不超过80人)维护了一个小网站.它目前具有简单的登录功能(电子邮件,密码),“受保护”的数据仅仅是我们会员的联系信息(电话,地址,电子邮件).该网站是用PHP编写的,并使用My sql.
最近几天,我一直在阅读有关网站安全的论坛和其他网站,因为我想在我们的网站上加强它.现在,安全性包括sql注入保护和存储在数据库中的MD5哈希密码.这种感觉很不合适,但我也觉得很容易把它拿走太远.我的意思是这里并不完全是核发射代码,但数据人们通常觉得不能在网上显示.该网站本身由一个相当着名的网络主机托管.
我现在能看到的唯一威胁是恶作剧者在网站上磕磕绊绊并尝试了一些自制的结合?
所以我觉得中间的某个地方就足够了.喜欢
> sql注入保护(如果需要,增强)
>使用salt更强的哈希方法
> XSS保护
> DDoS保护
>访问成员区域时的SSL
你认为更有经验的人是什么?
更新:我想补充一点,我自己做所有事情,没有预算购买花哨的加密技术或聘请专业程序员.
最佳答案
要增强sql注入的安全性,您必须看到:
> Best Way to Prevent SQL Injection
它会告诉您使用PDO,参数化查询.
> PHP Security Guide (By PHP Security Consotium)
使用以下方面审核您的网站安全性:
> OWASP
和
> PHPSec
PHPSec is a open-source PHP security library that takes care of the
common security tasks a web developer faces.