La meilleure façon de sécuriser les données PHP + MYSQL [fermé]
https://stackoverflow.com/questions/713165
-
23-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je construis une application qui va stocker certains de nos clients détails, des choses comme les noms d'utilisateur / mots de passe, des informations dont nous avons besoin de se rappeler et de garder en sécurité.
Quelle est la meilleure méthode pour stocker ces informations en toute sécurité?
La solution
Une telle question ouverte avec pas beaucoup de détails pour continuer. Je vous suggère de lire l'excellent Chris Shiflett avant " Essential PHP Security" vous allez pas plus loin. Il est court, au point et très pratique.
Il y a aussi un montant raisonnable des conseils disponibles sur le site Web du livre aussi http://phpsecurity.org/
Autres conseils
Devlounge ont un très bon article sur la sécurité.
L'utilisation d'un framework PHP pour la sécurité
Si vous voulez obtenir la configuration de la sécurité PHP rapidement sans faire une charge de la recherche, un framework PHP serait une bonne idée.
Je suis fan de CodeIgniter mais d'autres options sont et href="http://framework.zend.com" rel="nofollow noreferrer"> Zend .
L'utilisation d'un cadre de sécurité signifie que vous obtenez un essayé et tout de suite méthode éprouvée, mais il peut y avoir un certain temps et les efforts nécessaires pour apprendre le cadre.
A href="http://en.wikipedia.org/wiki/List_of_web_application_frameworks" total des frameworks PHP sont disponibles sur wikipedia .
Assez simple en fait. Mettre en place une base de données MySQL rapide, et une table utilisateur. Dans ce tableau utilisateur, stocker les noms d'utilisateur dans une colonne et une version hachée du mot de passe dans une autre colonne.
sécurité, j'aime générer une chaîne de 8 caractères au hasard et magasin qui aussi bien dans chaque ligne - j'appelle cette colonne la « Keycode ». Lorsque l'utilisateur se connecte à un nom d'utilisateur / mot de passe, je stocke leur authentification dans les variables de session, ainsi que la mise en correspondance « Keycode ».
De cette façon, l'authentification de session ne peut pas seulement rechercher le bon nom d'utilisateur / mot de passe, mais rapidement interroger la db, et vérifiez si le « Keycode » stockée dans la variable de session est le même que le code d'activation de la ligne.
Il fonctionne bien parce que même pas l'utilisateur connaît leur code d'activation.
En ce qui concerne les mots de passe, vous devez aller stocker un hachage du mot de passe. Chaque fois que vous authentifier l'utilisateur, vous hachez leur mot de passe entré et de comparer le résultat avec ce que vous avez enregistré. De cette façon, vous n'êtes pas stocker le mot de passe réel.
