我見過很多聲稱擁有銀行級安全加密功能的網站。如果他們的網站已經用php構建,除了使用mysql_real_escape_string和128位ssl加密之外,還有其他形式的安全性可以存在嗎?建立強大的網絡安全
回答
準備好的陳述將是一個好的開始。大大改善了對於轉義字符串的擔心,這不是100%萬無一失。
http://php.net/manual/en/pdo.prepared-statements.php
而且,這些說法,而可能的事實,是種愚蠢 - 意味着人誰不明白網站的安全性。以下是其他形式的擔保什麼都沒有做,以「銀行級加密」
- ,嚴格執行強密碼策略
- 保持服務器的軟件更新
- 有你的服務器正確設置了幾個例子向上擺在首位
- 卸妝用戶提交的內容爲所有XSS試圖
有很多更可以被添加到列表中。我仍然有很多要了解安全性,但我希望能讓你開始。
安全認證的基本規則:有三種東西要檢查 - 你知道的東西,你有的東西,你是什麼東西。你應該至少使用其中的兩個。 (銀行通常使用密碼和智能卡或移動電話。)
至於「銀行級安全加密」,我猜想這是marketingspeak表示他們使用SSL,因爲客戶端 - 服務器連接是唯一的地方哪裏需要加密。 (你應該對你的密碼進行哈希和加密,但這不完全是加密。)
當一家公司在廣告「政府實力」或「銀行級」時,他們可能正在討論FIPS 140密碼標準。大多數情況下,密碼學並不是確保真實世界系統的問題。
例如,這個USB Key是非常脆弱的,它使用AES256的「FIPS 140」賣點!一個128位的數字非常龐大,它的AES128符合FIPS 140標準。多吃點東西只是一個陰莖測量比賽。美國政府幾乎沒有保安的榜樣,因爲Twitter can break their crypto,這不是由於密碼的密鑰大小。
許多公司相信(或試圖說服他們的客戶)他們是安全的,因爲他們使用強大的密碼學。如果攻擊者想要闖入他們的網站他們將要做的最後一件事是試圖破解密碼。他們將尋找諸如SQL注入,緩衝區溢出和CSRF等低下的成果。大多數漏洞並不是因爲加密弱,而是因爲基本安全原則從不信任用戶輸入沒有被遵循。不要誤解我的意思,密碼學是一個重要的組成部分,但使用它並不意味着你是安全的。
一個很好的開始就是看看保護網站上可用的許多資源。這裏有幾個:
銀行級的安全encription
[原文] 我想我會跑了一英里,如果我在網站上看到了這一點!
但是,認真...它很容易獲得SSL證書,而銀行用於客戶數據的則與其他地方沒有什麼不同(除了通常它們被承保的數量更大)。
然而,歐洲和北美的金融機構對他們如何管理和加密數據(例如BS7799)有着非常明確的限制,這些數據不僅定義了技術標準,而且還定義了操作實踐。所以聲稱你的SSL安全性與銀行一樣是一個非常部分的事實 - 而且真的只是一個市場營銷。
但要解決你的問題....似乎沸騰;直到「我如何使我的網站安全?」,擁有一個證書並使用mysql_real_escape_string()幾乎不能抓到安全的表面。一個適當的答案會填滿幾本書。您可以先閱讀Steffan Esser和Chris Shifflet在互聯網上發表的內容。
C.
- 1. 網絡安全
- 2. 網絡安全
- 3. 正在建設中的網絡安全
- 4. 與網絡安全
- 5. 網絡安全相關的
- 6. 安全的網絡服務
- 7. 網絡安全 - url參數安全嗎?
- 8. 如何建立lora網絡
- 9. .NET網絡服務安全
- 10. 網絡TCP綁定安全
- 11. 網絡有多不安全?
- 12. 網絡安全測試
- 13. 網絡安全問題?
- 14. 網絡服務安全
- 15. 應用網絡安全
- 16. Firesheep - 安全公共網絡
- 17. 在Eureka Streams之上建立一個大規模可擴展且安全的社交網絡?
- 18. 強大的安全防範措施
- 19. 網絡服務安全性:必須知道網絡消息大小?
- 20. 建立你自己的網絡控制
- 21. 安全的網絡服務php/json
- 22. iphone安全的網絡標識
- 23. JAAS在jboss上的網絡安全5
- 24. 網絡應用程序的solr安全
- 25. MAC-OS X的網絡安全性
- 26. 檢查C#中的安全網絡#
- 27. 使不安全的WiFi網絡可用
- 28. 建立登錄安全的PHP腳本
- 29. 網站上的安全整合或關於網絡安全的任何想法?
- 30. Windows Phone 7上的獨立存儲和網絡傳輸的安全性
他們有事情是FARR超過128位SSL – 2010-05-17 07:29:15
更安全,但在使用SSL,他們更安全嗎? – berj 2010-05-17 07:32:36
mysql_real_escape_string不是一個好主意http://stackoverflow.com/questions/110575/do-htmlspecialchars-and-mysql-real-escape-string-keep-my-php-code-safe-from-injec – Cheekysoft 2010-05-17 15:05:33