如何安全地将敏感数据从浏览器发送到服务器？

Question

我有一个表格的姓名，地址，银行帐户，iban在我的网站上。

当用户单击submit按钮时，数据通过PHP发送到我的服务器，并存储在我的MySQL数据库中。

当数据从浏览器发送到我的服务器时，如何防止有人抓取数据？

SSL证书是正确的方式吗？如果是这样的话，SSL证书就足够了吗？

我找到了这个网站：www.selfsignedcertificate.com。您可以免费创建证书。付费SSL证书和免费SSL证书有什么区别？

Answer 1

几分钟前我刚刚回答了一个非常similar question的问题。

SSL是标准。它提供了：

• Confidentiality：客户端和服务器之间的数据是加密的，攻击者无法读取。通常使用攻击者不能篡改在客户端和服务器之间发送的消息的RSA algorithm.
• Integrity：。通常使用HMAC
• Authentication：实现，浏览器能够检查它正在与之对话的服务器是否确实是您的服务器，而不是攻击者。基本上，服务器向浏览器显示由颁发了SSL证书的证书颁发机构(例如VeriSign)签署的证书，以证明其身份。

所有这些都假设在服务器端正确配置了SSL :最新的密码，不支持过时的密码，适当的密钥长度(2048位或更高)，等等。

您可以使用SSL Labs检查您的SSL配置是否安全。此外，确保强制您的用户使用SSL，例如，通过自动将http:// URL重定向到https://。

Answer 2

SSL证书是防止有人窃取在浏览器和服务器之间传输的数据的最佳选择。但自签名证书不是一个解决方案，因为它不会被大多数web浏览器信任，因为它没有颁发可信的证书颁发机构。要解决此问题，我建议您获得由可信CA颁发的SSL。你将不得不支付几美元，但这是值得投资的。自签名证书的最大缺点是，浏览器不会认为它是有效的，并且会向用户发出警告消息。它不会给用户留下很好的印象。

根据CAB论坛指南，CA颁发的证书应具有最低256位加密，但如果是自签名证书，则不会具有如此高的加密。付费SSL将是一个很好的选择，而不是选择自签名证书。你可以阅读这个SSL FAQs来解决更多关于SSL证书的疑惑。

Answer 3

<form name='form1' method="post" action="nextpage.php">
    <input type="text" name="t1" value="firstname">
    <input type="text" name="t2" value="secondname">
    <input type="submit" name="submit1">
</form>
 nextpage.php 
<?php
    echo $_POST['t1'];
    echo $_POST['t2'];
 ?>