セキュリティを最大限に高めるためにPHPとMySqlを使用する人はどのようなことに焦点を当てるべきですか?私が行っているPHPセキュリティチェックリスト(注射、セッションなど)
物事:
は私のテーブル名
-50character塩+ RIPEMDパスワード
相続人は私の前にEMに
-Placedランダムアルファ数字を脱出した後、-validate、すべての入力
すべての入力を-mysql_real_escape_string私が眠っていると思う:
- 私はセッションについては何も知らず、それらを確保しています。
session_start();
$_SESSION['login']= $login;
とでそれを確認する:あなたがやっているすべてがある場合、それはどのように危険な/安全である
session_start();
if(isset($_SESSION['login'])){
-Iは、クロスサイトインジェクション、何ではないような注入の他の形態について何かを聞きました.. - おそらく私が知りたくない他の多くのもの。
phpを安全にするための「チェックリスト」/ Quicktutはありますか?私は心配すべきことを知っていません。私はプロではないので、ケーキを造っていないのは残念です。
ねえ。丁寧な対応に感謝します。 mysql_real_escape_stringの質問が早く出てきました。マニュアルを見てみると、特定の種類の注射でしか機能しないことが示唆されたように感じました。すべての入力にそれを使用すれば、注射から安全ですか?また、私はそれを得るまで、ssl temporairlyを使用する代わりのソリューションはありますか? – NoviceCoding
これは、クエリで入力値を使用する状況でSQLインジェクションを行う場合に機能します。あなたが何かを検索できるようにして、誰かが$ searchに値を入力させるようにすると、 '$ query ="のようなクエリを作ることができます。SELECT * FROMページWHERE content LIKE '%$ search%' ";'誰かが '牛% 'を検索しない限り。ドロップデータベース。 - '。そう思わないでしょうか?たぶん、そうではありません。とにかく、それは悪意のあるハックのようなものです。誰かが単に ''を含むものを検索したときに起こりうる単純な問題を除けば。 :) – GolezTrol
SSLの代替手段として、私はこれで最大の専門家ではないので、私はあなたに全く利益をもたらさないかもしれないばかげたアイデアでこの質問に答えることができない場合があります。 SQLインジェクションとは全く別の問題であるため、これについて新しい質問をすることを検討することさえできます。 – GolezTrol