建立产品注册系统的最佳实践？

Question

在我正在建立的产品注册系统中，我应该使用哪些实践？我可能无法阻止所有的恶意黑客，但我想让他们慢很多。(注意，我只知道PHP。)我说的是加密流量，像中间人攻击一样测试黑客的加密等等。另一个我担心的是，这需要在大多数基于PHP5 5的网络托管环境中工作，因为这些环境可能没有安装mcrypt。

Answer 1

要加密通信量和防止MITM攻击，您需要使用SSL访问应用程序，并从认证公司(即Verisign)获得证书。但是，这不是通过代码完成的，而是在宿主服务器上配置的。

您需要采取的其他安全措施是对SQL语句中的所有内容进行参数化，以防止SQL注入。您还需要确保用户有权查看每个页面，以便在url中增加一些id不会导致显示未经授权的信息。您还需要使用咸哈希来存储用户密码，并适当地对数据库中的其他敏感信息进行散列或加密。不要储存旧密码。确保及时应用安全修补程序，确保您的代码在发现新发现的漏洞时不会受到攻击。尽可能多地限制访问，尽可能多地单独执行任务。

这就是我脑子里最基本的安全问题