要创建一个安全的PHP/MySQL网站，最重要的事情是什么？

Question

这是一个观点问题，但总体而言，对于使用MySQL数据库的基于PHP的网站，哪些安全预防措施是理想的？该网站将包括注册和登录，并需要保护用户的个人信息。

Answer 1

你必须知道主要的事情：

• 用户就像猴子一样愚蠢。他们点击anything anytime.
• HTTPS
• Good programing
• HASH+ salt
• PHP bugs
• All possible ways of HASH over PHP and MySQL。以牙还牙。

Answer 2

这是一个非常庞大的问题，有几十本书专门为回答这个问题而写，但这里有一些重要的事情：

1-永远不要信任用户输入数据($_GET和$_POST)。始终在打印/保存到数据库之前清理所有内容。

2-避免直接在SQL上连接参数。始终使用$db->bindParam()或其他类似函数。

3-从不存储纯文本密码。始终使用散列算法。为了安全起见，也要用盐。

4-总是期待最坏的情况发生。因为它会的。

5-阅读一些关于XSS，CSRF的内容。一定要保护你的应用程序不受这些攻击。

6-获得经验=)

Answer 3

安全web开发的黄金法则:过滤输入，转义输出

这里有一篇很好的文章总结了这一点：http://shiflett.org/blog/2005/feb/more-on-filtering-input-and-escaping-output