我问这个问题,因为我为一群相当孤立的人(不超过80人)维护了一个小网站。它目前具有简单的登录功能(电子邮件,密码),“受保护”的数据仅仅是我们会员的联系信息(电话,地址,电子邮件)。该网站是用PHP编写的,并使用My SQL。
最近几天,我一直在阅读论坛和其他有关网站安全的网站,因为我想在我们的网站上加强它。现在,安全性包括SQL注入保护和存储在数据库中的MD5哈希密码。这种感觉很不合适,但我也觉得很容易把它拿走太远。我的意思是这里不完全是核发射代码,但数据人们通常觉得不能在网上显示。该网站本身由一个相当着名的网络托管服务商托管。
我现在能看到的唯一威胁是恶作剧者在网站上磕磕绊绊并尝试了一些自制的结合?
所以我觉得中间的某个地方就足够了。像
你认为更有经验的人会怎么想?
更新:我想补充一点,我自己做了一切,没有预算购买花哨的加密技术或聘请专业程序员。
答案 0 :(得分:3)
要增强 SQL注入的安全性,您必须看到:
它会告诉您使用PDO参数化查询。
要了解一般安全问题,请参阅此文章,内容涵盖了很多内容:
使用以下方式审核您的网站安全性:
和
phpSec是一个开源的PHP安全库,负责管理 Web开发人员面临的常见安全任务。
答案 1 :(得分:1)
将CSRF漏洞保护添加到您的安全列表
答案 2 :(得分:0)
您也可以添加Remote file inclusion。