我刚刚完成编码web应用的基础知识(主代码),我已经集成了一个基本的用户系统。这是我的第一个网络应用程序,所以我想知道我应该用什么来保护它?我已经知道像mysql_real_escape_string()
和strip_tags()
之类的东西,但还有什么?我将如何通过Cookie和会话安全地存储用户名和密码?任何提示,教程等非常感谢!
回答
OWASP对于最常见的漏洞和如何缓解这些漏洞提供了很好的建议。您应该熟悉它们覆盖的attacks和vulnerabilities。
通过阅读这些可能需要时间,但没有太多,它不是特别密集的阅读。也许你应该首先关注他们的top 10 security risks。
我很困惑的一件事是,我已经在很多地方(包括提供的链接ggg)阅读不要在cookie中存储用户名和密码。那么,如何将它们存储起来以便用户不必每次都登录。或者我不应该将它们作为纯文本存储在cookie中(md5将它们编码?) – williamg 2010-08-09 01:37:04
改为使用会话ID。会话ID位于cookie中,并且在您的服务器上,您将用户名和其他会话变量与ID相关联。请注意会话ID也存在安全风险,因此请务必阅读(例如会话固定)。 – 2010-08-09 01:39:53
但是,一旦用户关闭浏览器,会话和数据之间的连接会不会丢失? – williamg 2010-08-09 02:10:45
CWE/SANS Top 25 Most Dangerous Software Errors帮了我很多。
real_escape_string
只打击MySql注入。另外,当用户必须输入数字时,例如,从index.php?newsid=3
等URL中读取newsid=n
,请确保$_GET['newsid']
是在$_GET['newsid']
之前加上(int)
的整数。
一些真正基本的东西;)希望链接有帮助。
- 1. 应用网络安全
- 2. 网络应用程序的solr安全
- 3. 网络安全
- 4. 网络安全
- 5. 从网络安全组删除规则
- 6. 学习基本网络安全的最佳方式
- 7. gwt-是安全的在本地或网络应用程序
- 8. 与网络安全
- 9. SQL Server的安全原则
- 10. 网络安全相关的
- 11. 安全的网络服务
- 12. 确保Magento使用安全网址时,它应该是
- 13. 网络安全 - url参数安全吗?
- 14. android确保安全
- 15. iOS应用拒绝 - 确保您的应用支持IPv6网络
- 16. 使不安全的WiFi网络可用
- 17. .NET网络服务安全
- 18. 网络TCP绑定安全
- 19. 网络有多不安全?
- 20. 网络安全测试
- 21. 网络安全问题?
- 22. 网络服务安全
- 23. Firesheep - 安全公共网络
- 24. 网络应用程序设计的网络安全区域(最佳分辨率)
- 25. 基于网络的系统的安全实践
- 26. 如何调用安全的Google Apps脚本网络应用端点?
- 27. 开发人员的网络安全基础(IIS,SQL,RDP等)
- 28. 数字安全如何与信息/网络/基础设施安全不同?
- 29. 电子(铬)禁用网络安全
- 30. 网络安全实用测试资源
有关于此的大量资源在线。这是一个相对的主题:http://stackoverflow.com/questions/328/php-session-security。和另一个:http://stackoverflow.com/questions/2119083/php-tutorial-that-is-security-accuracy-and-maintainability-conscious – 2010-08-09 00:47:55
http://stackoverflow.com/questions/72394/what-should-a开发人员知道建筑之前的公众网站是一个涉及同一主题的传奇性问题。 – ggg 2010-08-09 00:58:02
@ggg谢谢! – williamg 2010-08-09 01:13:15