@爆米花
3年前 提问
1个回答
PHP 代码安全设计注意要什么
一颗小胡椒
3年前
身份认证设计
- 用户身份认证的强度设计
- 对高价值交易和进入保护区域的用户需要进行重新认证
- 认证失败后的处理方式
- 使用强口令策略
- 使用图片验证码
- 敏感信息加密处理
访问控制
- 限制普通用户对资源的访问;
- 应用软件启动权限最小化
- 敏感功能IP地址控制
- 尽量采用统一的访问控制机制
- 资源请求数量限制
- 在服务器端实现访问控制
会话管理
- 限制会话寿命
- 确保会话的安全创建
- 确保会话数据的存储安全
- 确保会话的安全终止
- WEB页面应避免跨站请求伪造
- WEB系统确保会话凭证的安全
数据安全
- 尽量避免明文存储敏感信息
- 避免在代码中存储敏感信息
- WEB系统,不要在永久性cookie中存储敏感数据
- 避免在配置文件中明文存储数据库连接、口令或密钥
- 确保通信通道的安全
- 禁止自创加密算法