我见过许多声称拥有银行级安全加密的网站。如果他们的网站是用PHP构建的,那么除了使用mysql_real_escape_string和128bit ssl加密之外还能存在哪些其他形式的安全性?
答案 0 :(得分:1)
当一家公司宣传“政府实力”或“银行等级”时,他们可能正在讨论FIPS 140加密标准。大多数情况下,加密并不是保护现实世界系统的问题。
例如,这个USB Key非常脆弱,它使用AES256的“FIPS 140”卖点! 128位数字很大,AES128符合FIPS 140标准。有更多的位只是一个阴茎测量比赛。由于Twitter can break their crypto,美国政府几乎不是secuirty的榜样,这不是因为密码的密钥大小。
答案 1 :(得分:0)
准备好的陈述将是一个良好的开端。在担心逃避字符串方面有了很大的改进,这不是100%万无一失。
http://php.net/manual/en/pdo.prepared-statements.php
此外,这些声明虽然可能是事实,但有点愚蠢 - 适用于那些不了解网站安全性的人。以下是与“银行级加密”无关的其他安全形式的几个示例
还有更多可以添加到该列表中。我还有很多需要了解的安全性,但我希望能让你开始。
答案 2 :(得分:0)
安全认证的基本规则:有三种要检查的东西 - 你知道的东西,你拥有的东西,你的东西。你应该至少使用其中两个。 (银行通常使用密码,智能卡或手机。)
至于“银行级安全加密”,我猜这是因为他们正在使用SSL,因为客户端 - 服务器连接是唯一需要加密的地方。 (你应该对你的密码进行散列和加密,但这并不是完全加密的。)
答案 3 :(得分:0)
许多公司认为(或试图说服他们的客户)他们是安全的,因为他们使用强大的加密技术。如果攻击者想要侵入他们的网站他们将要做的最后一件事就是试图破解加密。他们将寻找低挂果,如SQL注入,缓冲区溢出和CSRF。大多数漏洞不是因为加密较弱,而是因为没有遵循基本安全原则从不信任用户输入。不要误解我的意思,密码学是一个必不可少的组成部分,但使用它并不意味着你是安全的。
一个好的起点是查看保护网站的许多可用资源。以下是一些:
答案 4 :(得分:0)
银行级安全征文
[原文如此] 如果我在网站上看到它,我想我会跑一英里!
但严重的是......很容易获得SSL证书,而银行用于客户数据的那些证书与其他地方没有什么不同(除非通常它们被承保的金额要大得多)。
然而,欧洲和美国的金融机构对如何管理和加密数据(例如BS7799)有非常具体的限制,这些数据不仅定义了技术标准,还定义了操作实践。声称你拥有像银行一样安全的SSL是一个非常局部的事实 - 而且实际上只是一个营销旋转。
但要解决你的问题....这似乎沸腾了;直到“我如何使我的网站安全?”,拥有证书并使用mysql_real_escape_string()几乎没有触及安全性。一个正确的答案将填补几本书。你可以先阅读Steffan Esser和Chris Shifflet在互联网上发表的文章。
下进行。