在启动使用Codeigniter构建的网站之前,应该检查哪种安全问题?我的网站功能是登录,表单处理,限制页面等。这是学生小屋的预订系统。随意写一般安全问题。
答案 0 :(得分:2)
首先,没有任何网站是100%安全的,并且最高安全性通常不是目标。这是安全性和可用性之间的权衡。如果您实际上没有在您的网站上接受订单并处理存款或付款,那么您的需求会少一些。这是一个开始:
基本前提是拒绝与预订部分有关的所有事项,直到进行适当的授权和身份验证,然后允许访问您网站的该部分。不确定您的网站是如何设计的。
删除所有打印详细错误信息的代码,或显示开发过程中使用的会话或变量数据。
确认所有表单输入都经过验证。
重新检查您为用户与访问者和管理员提供的mySQL权限。用户应该只有SELECT,INSERT和UPDATE。访客只需选择。
验证密码未存储为纯文本。
您是否允许上传文件?如果是这样,需要防止远程文件包含攻击。
您是否在Codeigniter中启用CSRF以防止CSRF攻击?
这是一个开始。我相信其他人可以增加他们的经验。