@爆米花
3年前 提问
1个回答

PHP 代码安全设计注意要什么

一颗小胡椒
3年前

身份认证设计

  • 用户身份认证的强度设计
  • 对高价值交易和进入保护区域的用户需要进行重新认证
  • 认证失败后的处理方式
  • 使用强口令策略
  • 使用图片验证码
  • 敏感信息加密处理

访问控制

  • 限制普通用户对资源的访问;
  • 应用软件启动权限最小化
  • 敏感功能IP地址控制
  • 尽量采用统一的访问控制机制
  • 资源请求数量限制
  • 在服务器端实现访问控制

会话管理

  • 限制会话寿命
  • 确保会话的安全创建
  • 确保会话数据的存储安全
  • 确保会话的安全终止
  • WEB页面应避免跨站请求伪造
  • WEB系统确保会话凭证的安全

数据安全

  • 尽量避免明文存储敏感信息
  • 避免在代码中存储敏感信息
  • WEB系统,不要在永久性cookie中存储敏感数据
  • 避免在配置文件中明文存储数据库连接、口令或密钥
  • 确保通信通道的安全
  • 禁止自创加密算法