我的网站上有姓名、地址、银行账户、iban 表格。
当用户点击提交按钮时,数据通过 PHP 发送到我的服务器并存储在我的 MySQL 数据库中。
当数据从浏览器发送到我的服务器时,如何防止有人抓取数据?
SSL 证书是否正确?如果是,那么 SSL 证书是否足够?
我找到了这个网站:www.selfsignedcertificate.com。您可以免费创建证书。付费和免费 SSL 证书有什么区别?
【问题讨论】:
标签: php security ssl ssl-certificate
如何防止有人在从 浏览器连接到我的服务器?
SSL 可以很好地防止 MITM(中间人)攻击。
SSL 证书是否正确?如果,SSL 证书就够了吗?
SSL 证书是提供一层安全性的正确方法。但这还不够。 SQL 注入攻击仍然是可能的。 (还有许多其他攻击)
我找到了这个网站:www.selfsignedcertificate.com。您可以免费创建证书。付费和免费 SSL 证书有什么区别?
SSL 证书由签名机构生成。因此,这些签名机构会向您收取费用,以验证您是否真正拥有您声明的域。当您自己成为签名机构时,证书变得免费,(因为您不会向自己收费以验证您是您:P)。而且,“免费”SSL 证书将在所有浏览器上显示一个红色条,因为浏览器不信任签名机构,即您。更多信息在这里:https://www.globalsign.com/en/ssl-information-center/what-is-an-ssl-certificate/
【讨论】:
几分钟前我刚刚回复了一个非常similar question。
SSL 是标准。它提供:
机密性:数据在客户端和服务器之间加密,攻击者无法读取。通常使用RSA algorithm。
完整性:攻击者无法篡改客户端和服务器之间发送的消息。通常使用实现 HMAC
身份验证:浏览器能够检查它正在与之通信的服务器是实际上是你的,而不是攻击者。基本上, 服务器向浏览器显示由证书签名的证书 颁发 SSL 证书的机构(例如 VeriSign),即 证明自己的身份。
所有假设 SSL 在服务器端正确配置: 最新的密码,不支持过时的密码,适当的密钥长度 (2048 位或更高)等
您可以使用SSL Labs 检查您的 SSL 配置是否看起来 安全的。此外,请务必强制您的用户使用 SSL,例如 通过自动将 http:// URL 重定向到 https:// URL。
【讨论】:
SSL 证书是防止有人在浏览器和服务器之间获取数据的最佳选择。但是自签名证书不是一个解决方案,因为它不会被大多数网络浏览器信任,因为它没有颁发受信任的证书颁发机构。为了克服这个问题,我建议您获得由受信任的 CA 颁发的 SSL。您将不得不支付几美元,但值得投资。自签名证书的一大缺点是,浏览器不会认为它有效,并且会向用户发出警告消息。它不会在用户心中留下深刻的印象。
根据 CAB 论坛指南,CA 颁发的证书至少应具有 256 位加密,但在自签名证书的情况下,您不会具有如此高的加密。付费 SSL 将是一个不错的选择,而不是选择自签名证书。你可以阅读这篇SSL FAQs来解决更多关于SSL证书的疑惑。
【讨论】:
<form name='form1' method="post" action="nextpage.php">
<input type="text" name="t1" value="firstname">
<input type="text" name="t2" value="secondname">
<input type="submit" name="submit1">
</form>
nextpage.php
<?php
echo $_POST['t1'];
echo $_POST['t2'];
?>
【讨论】: