Bu bir kaç kez cevap olmuştur, iyi bir soru ..

Where to begin

Books and Resources

More resources

Never trusting the user, ve kullanıcı giriş (tercihen çıkış herhangi bir şans önce) kısa sürede dezenfekte nerede açıkça tanımlanmış veri olan her proje akar

Her zaman bazı formunu kullanarak PDO. (Diğer bir deyişle hiç ham SQL kullanarak asla). Hatalar hızla hataları düzeltmek için çalışırken sürünen bir alışkanlığı var.

Içerir değişkenlerini kullanarak asla. Bu kolay bir çözüm gibi görünebilir, ama genellikle kullanıcı onlar olmamalıdır dosyaları talep olanak sağlayan bir dağınık bir tanesidir.

Bu zayıflıkları olduğu gibi bir unique tuz ve sonra onları karma, md5 () ile Salt tüm şifreler bu için ideal bir fonksiyon değildir.

Bu kilit noktaları izleyin:

• Bir istemciden gelen tüm veri değiştirilebilir ve giriş (veritabanına eklemek vb) onunla bir şey yapmadan önce kontrol / dezenfekte edilmelidir
• Herhangi bir güvenlik ile ilgili algoritmalar sunucu tarafında uygulanmalıdır, bu algoritma (değiştirilebilir JavaScript apposed) her zaman istediğiniz şekilde yürütülür sağlar
• Şifre sağlamalarının oluşturmak mysql DONT yapmak için onları göndermeden önce '(kullanıcılar VALUES INSERT INTO': şifre karma veya şifreleme ve karma diğer herhangi bir şekilde (IE komut dosyası içinde değil, diğer istemci / sunucu istekleri ile yapılmalıdır Bu sorgu günlükleri ve SQL server yöneticileri tarafından görüntülenebilir olduğu gibi 1 ',' jblow ', md5 (' şifre '))',
• Bu girdiyi biraz daha uzun sürerse son ama en az, DONT BE LAZY, bunu, hepsini alır, bir istismar ve uygulama olursa olsun, ne kadar şaşırtıcı kendi kullanıcı tabanının çok gevşek olacak değil.