如何安全地将敏感数据从浏览器发送到服务器?

时间:2016-11-27 10:30:57

标签: php security ssl ssl-certificate

我的网站上有姓名,地址,银行帐户,iban表格。

当用户点击提交按钮时,数据将通过PHP发送到我的服务器并存储在我的MySQL数据库中。

如何防止有人在从浏览器发送到我的服务器时抓取数据?

SSL证书是否正确?如果是这样,SSL证书是否足够?

我找到了这个网站:www.selfsignedcertificate.com。您可以免费创建证书。付费和免费SSL证书之间有什么区别?

4 个答案:

答案 0 :(得分:2)

  

如何防止有人在从中发送数据时抓取数据   浏览器到我的服务器?

SSL可以很好地阻止MITM(中间人)攻击。

  

SSL证书是否正确?如果,SSL证书足够吗?

SSL证书是提供安全层的正确方法。但这还不够。 SQL注入攻击仍然可能。 (还有许多其他攻击)

  

我找到了这个网站:www.selfsignedcertificate.com。您可以免费创建证书。付费和免费SSL证书之间有什么区别?

SSL证书由签名机构生成。因此,这些签名机构会向您收取费用,以确认您确实拥有您所声称的域名。当你自己成为签约机构时,证书就会免费,(因为你不会自己收取费用来证明你是你:P)。并且,“免费”SSL证书将在所有浏览器上显示红色条,因为浏览器不信任签名机构,即您。更多相关信息:this sample

答案 1 :(得分:0)

几分钟前我刚回答了similar question

  

SSL是标准。它提供:

     
      
  • 机密性:数据在客户端和服务器之间加密,攻击者无法读取。通常使用RSA algorithm

  •   
  • 完整性:攻击者无法篡改客户端与服务器之间发送的消息。通常使用   HMAC

  •   
  • 身份验证:浏览器能够检查与通信的服务器实际上是,而不是攻击者。基本上,   服务器向浏览器显示由证书签名的证书   授权已颁发SSL证书(例如VeriSign),即   证明了它的身份。

  •   
     

所有假设SSL在服务器端正确配置:   最新的密码,不支持过时的密码,正确的密钥长度   (2048位或更高)等等。

     

您可以使用SSL Labs检查您的SSL配置是否外观   安全。此外,请务必强制您的用户使用SSL   自动将 http:// 网址重定向到 http s ://

答案 2 :(得分:0)

SSL证书是阻止某人抓取在浏览器和服务器之间传输的数据的最佳选择。但是,自签名证书不是解决方案,因为它不会被大多数Web浏览器信任,因为它不会发布可信证书颁发机构。为了解决这个问题,我建议您获得受信任的CA颁发的SSL。你将不得不支付几美元,但值得投资。自签名证书的重大缺点是,浏览器不会认为它有效并且会向用户发出警告消息。它不会给用户带来很好的印象。

根据CAB论坛指南,CA颁发的证书应至少具有256位加密,但在自签名证书的情况下,您不会拥有如此高的加密。付费SSL将是一个不错的选择,而不是选择自签名证书。您可以阅读此SSL FAQs以解决有关SSL证书的更多疑问。

答案 3 :(得分:-1)

componentDidMount