我在为相当孤立的一群人(不超过 80 人)维护一个小型网站时提出这个问题。它目前具有简单的登录功能(电子邮件、密码),“受保护”的数据仅仅是我们会员的联系信息(电话、地址、电子邮件)。该网站是用 PHP 编写的并使用 My SQL。
最近几天,我一直在阅读有关网站安全的论坛和其他网站,因为我想在我们的网站上增强它。目前,安全性包括存储在数据库中的 SQL 注入保护和 MD5 哈希密码。这感觉有点不足,但我也觉得很容易把它走得太远。我的意思是这里不完全是核发射代码,但人们通常觉得在网上显示数据有点不舒服。该网站本身由一个相当知名的网络主机托管。
我现在能看到的唯一威胁是恶作剧者跌跌撞撞地穿过网站并尝试一些他们自制的混合物?
所以我认为中间的某个地方就足够了。喜欢
- SQL 注入保护(根据需要增强)
- 使用盐的更强的哈希方法
- XSS 保护
- DDoS 防护
- 访问会员区时的 SSL
那些更有经验的人怎么看?
更新:我想补充一点,我自己做所有事情,没有购买花哨的加密技术或聘请专业程序员的预算。