我正在开发一个可以存储敏感/机密公司信息的Web应用程序(PHP),并且针对中型到大型企业。
在开发此应用程序时,我的团队正在采取我们能想到的所有安全措施,包括:
- 清理SQL查询的用户输入(通过使用codeigniter输入/数据库库)
- 通过HTTP重定向强制使用HTTPS
- 使用phpass框架隐藏用户密码(CRYPT_BLOWFISH)
(还检查密码是<72个字符以防止DoS攻击)
- 使用数据库存储会话数据以及快速会话到期(&lt; 10min),安全会话(仅通过HTTPS发送)和加密的cookie,以及匹配的IP&amp;用户代理
- CSRF(跨站点请求伪造)令牌
- 使用第三方存储和处理任何信用卡数据
首先,是否有任何我可能忽略的安全措施?但是,我的主要问题是:是否有任何有信誉的审计机构/团体/组织可以审核我们的申请并确认我们使用的是最好的(或至少是行业认可的标准)安全措施?我们希望将此类认证作为我们软件的卖点。