Il modo migliore per proteggere i dati PHP + MySQL [chiusa]
https://stackoverflow.com/questions/713165
-
23-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto costruendo un app che memorizzerà alcuni dei nostri clienti particolari, cose come nomi utente / password, informazioni che abbiamo bisogno di ricordare e mantenere sicuro.
Qual è il metodo migliore per la memorizzazione di queste informazioni in modo sicuro?
Soluzione
Una simile domanda aperta con non un sacco di dettagli per andare avanti. Io suggerirei la lettura eccellente " Essential PHP Security " di Chris Shiflett prima di andare ulteriori. E 'breve, al punto e molto pratico.
C'è anche una quantità ragionevole di consulenza a disposizione dal sito web del libro anche a http://phpsecurity.org/
Altri suggerimenti
Devlounge hanno un ottimo articolo sulla sicurezza.
Utilizzo di un framework PHP per la sicurezza
Se si desidera ottenere configurazione di sicurezza di PHP in fretta senza fare un carico di ricerca, un framework PHP sarebbe una buona idea.
Io sono un fan di CodeIgniter ma altre opzioni includono CakePHP e Zend .
Utilizzo di un quadro di riferimento per la sicurezza significherà si ottiene un metodo provato e testato subito, tuttavia ci può essere qualche tempo e lo sforzo necessario per imparare il quadro.
Un totale di dei framework PHP può essere trovato su wikipedia .
Piuttosto semplice in realtà. Impostare un database veloce MySQL, e una tabella utente. In quella tabella utente, memorizzare i nomi utente in una colonna e una versione hash della password in un'altra colonna.
Come ulteriore sicurezza, mi piace per generare una stringa di caratteri casuale 8 e negozio che pure in ogni riga - che io chiamo colonna "codice chiave". Quando l'utente accede con un corretto nome utente / password, devo conservare la loro autenticazione in variabili di sessione, così come l'abbinamento "codice chiave".
In questo modo, l'autenticazione della sessione può non solo cercare il giusto nome utente / password, ma rapidamente interrogare il db, e controllare per vedere se il "codice chiave" memorizzato nella variabile di sessione è la stessa come il codice in riga.
Funziona bene perché nemmeno l'utente conosce il loro codice.
Per quanto riguarda le password andare si dovrebbe memorizzare un hash della password. Ogni volta che si autenticare l'utente, è hash la password immessa e confrontare il risultato con quello che hai memorizzato. In questo modo non si memorizzano la password effettiva.
