【发布时间】:2014-06-12 06:34:18
【问题描述】:
我正在尝试了解我必须遵循的步骤,以便在网站上安全地输入和输出数据。这是我目前所理解的:
**
程序
**
1)用户输入数据
2) 此数据使用 JavaScript 进行验证。如果数据与您的结构不匹配 请求,发送错误消息。
3) 如果 JavaScript 被禁用或浏览器不支持,数据也会使用 PHP 进行验证。 PHP 验证几乎与 JavaScript 验证相同。如果数据与请求的结构不匹配,则发送错误消息。
4)打开与数据库的连接(PDO方法)
5) 使用 prepared statements(PDO 方法)根据您的数据库检查输入数据,并在需要时返回错误消息 [例如,如果数据是电子邮件地址,那么我们不能有 2 个用户使用相同的电子邮件地址/错误消息:此电子邮件地址已注册。如果您已经注册,请登录或使用其他电子邮件地址注册]。
6)所有检查完成后[client-side (JavaScript) and server-side (PHP)],使用prepared statements插入un-将数据转义到数据库中。
7)当请求数据并且必须在网络浏览器上显示时,只有转义(输出)数据,以防止 XSS。
**
安全
**
A)当权限级别发生变化时(从登录到注销,反之亦然),PHP 脚本将使用 session_regenerate_id – 缓解会话固定
B)SSL将用于最大限度地减少客户端和服务器之间的数据暴露
C)表单将有一个隐藏字段嵌套一个 anti-CSRF 令牌,该字段将与会话中存储的令牌进行检查 - mitigate CSRF
D)密码将在使用 Bcrypt 散列算法(使用适当的盐)进行散列后存储
E)(2)+ (3) 验证将使用正则表达式。我知道,错误的正则表达式会导致很多错误。是否有任何普遍接受的正则表达式用于验证电子邮件地址、密码等?
**
问题:
**
1)我是否正确理解了输入/输出程序?我做错了吗?
2)我知道,从安全角度来看,您永远无法得到 100% 的保护。我还应该做什么?我上面写的有问题吗?
提前致谢。
【问题讨论】:
-
这个问题对于 StackOverflow 来说太宽泛了,抱歉。你花了很多心思。
-
我知道这是 PHP/MySQL/JavaScript 的重要组成部分。但我需要知道我是否在正确的道路上。或者如果我错过了一些基本的东西。
-
电子邮件验证:不要甚至开始尝试编写自己的正则表达式 - 这是复杂的方式,很多人都失败了这已经摆在你面前了。使用php.net/manual/en/filter.filters.validate.php
-
是的,但这仅适用于 PHP。 JavaScript 验证呢?
-
密码验证:难道你不喜欢'敢告诉我我的密码应该是什么样子 ;-) 说真的,强制用户使用符合你可能认为是正确形式/数量的“特殊”字符的密码会使世界不那么安全——它迫使我偏离我通常的方案,并且从而增加了我会选择“容易记住”的东西或将其写在某处等的可能性。您可能建议我您认为我的密码可能不是最安全的密码 - 但请不要在这方面,不要强迫我做任何事情。
标签: javascript php mysql regex