开发人员应该考虑的典型潜在安全风险是什么？

Question

这是一个广泛的问题，为了寻找一个像样的广泛的答案，但我真的很好奇专业开发人员在安全性方面必须考虑哪些关键问题。

你如何让你的网站更防黑客攻击？您如何确保贵公司数据库的安全性？

我是一个真正的安全问题新手，但我热衷于听到人们关于安全的典型设计模式(如果有这样的东西)，使用加密方法的易用性等。

谢谢!

Answer 1

网络应用程序

永远不要相信用户的输入！假设人们试图将恶意内容传递给您的应用程序。

这类事情导致了@Matteo Mosca正在谈论的问题。

数据库

在数据库端，确保你加密了任何你不想让别人轻易看到的信息，如果他们确实黑了你的数据库(密码等)。

Here是一篇关于在数据库中存储密码的好文章。

有关更多信息的链接：

• XSS
• CSRF
• SQL Injection

Answer 2

我可以给你指出一些典型的攻击，可以尝试对一个网站。你可以在网上找到很多关于它们的资源。

Sql(跨站点scripting)

• CSRF / XSRF (跨站点请求伪造))
• Injection

这些是最常见的，我建议你从学习这些开始。

Answer 3

这并不是你必须做的所有事情的详尽列表，但它应该会让你思考一些问题的答案：

如何让你的网站免受黑客攻击？

SQL在任何需要考虑安全性的地方，请确保使用强SQL encryption.

• Never
• 。始终使用参数化查询或存储过程。这将防止SQL注入攻击。
• 从不以纯文本存储用户密码。始终使用带盐的hash.
• Require用户(尤其是管理员用户)来使用强passwords.
• Be，确保检查查询参数中的危险内容。这将有助于防御跨站点脚本攻击。

如何确保公司数据库的安全性？

SQL不要将数据库直接暴露给Internet.

• Require，连接到数据库的应用程序遵循强大的passwords.

• Ensure最佳实践，这样它们就不会通过注入攻击暴露数据。