<分区>
我问这个问题是因为我为相当孤立的一群人(不超过 80 人)维护一个小型网站。它目前有一个简单的登录功能(电子邮件、密码),“ protected ”的数据仅仅是我们成员(member)的联系信息(电话、地址、电子邮件)。该网站是用 PHP 编写的,并使用 My SQL。
最近几天,我一直在阅读有关网站安全的论坛和其他网站,因为我想在我们的网站上加强它。目前,安全性包括 SQL 注入(inject)保护和存储在数据库中的 MD5 散列密码。这感觉有点不够,但我也觉得很容易把它做得太过火。我的意思是这里不完全是核发射代码,而是人们通常觉得在网上显示有点不舒服的数据。该站点本身由相当知名的网络主机托管。
我现在能看到的唯一威胁是恶作剧者在网站上跌跌撞撞地尝试他们自制的混合物?
所以我认为中间的某个地方就足够了。喜欢
- SQL 注入(inject)保护(必要时加强)
- 使用 salt 的更强的哈希方法
- XSS 保护
- DDoS 防护
- 访问成员(member)专区时使用SSL
你认为更有经验的人怎么想?
更新:我想补充一点,我自己做所有事情,没有购买花哨的加密技术或聘请专业程序员的预算。