[ SadaBeograd @ 11.09.2018. 15:31 ] @
Zdravo ljudi...

Trebam da odradim prost CRUD u kome ce se nalaziti baza korisnika neke firme (ime, prezime, broj telefona, JMBG).

Zbog rizicnosti od kradje podataka, pogotovo JMBG-a, zelim da vas pitam sta bih od sigurnosti mogao / trebao da uradim, da minimizujem sansu da dodje do neovlascenog pristupa bazi?
[ jablan @ 11.09.2018. 15:34 ] @
Misliš na zaštitu svoje aplikacije, ili na zaštitu servera / baze?
[ SadaBeograd @ 11.09.2018. 15:45 ] @
Generalno, na kompletnu zastitu, odnosno, da ja kao osoba koja ce izraditi tu malu aplikaciju uradim sve sto je u mojoj moci.
[ jablan @ 11.09.2018. 16:18 ] @
Pa ima mali milion pravila, previše ti je opširno pitanje. Samo neka su: koristi prepared statements, ne koristi eval, ne stavljaj šifre za bazu u kod, piši testove, unajmi nekog da ti uradi security audit, poveri administraciju servera i baze profesionalcima, itd itd.
[ SadaBeograd @ 11.09.2018. 16:20 ] @
Server je onaj klasican, shared varijanta.
Koristim prepared, s tim sto podatke za konekciju na bazu cuvam u posebnom fajlu koji kasnije includujem, ali je vidljiv, da.

- Da li cPanel directory protection ima neku svrhu povodom sigurnosti?
- Da li mogu i cime preporucujes da zastitim JMBG kolonu, kojom enkripcijom?
[ bokinet @ 11.09.2018. 17:43 ] @
Ako se koristi MySQL za DBMS on u sebi vec ima AES f-je.

Imati na umu isto da sifra koja se koristi za kriptovanje/dekriptovanje treba da bude smestena negde na serveru te tako isto treba obratiti paznju gde.

Pored toga moze da se uvedu sesije kao i web api tokeni.

Sifre za korisnike mozes hash-ujes pomocu hush f-ja u kombinaciji sa nekim slat-om i da dobijenu vrednost cuvas u bazi zbog validacije korisnika.

Imati na umu i performanse kriptovanih podataka u bazi i pretragu takodje.

Kao sto @jablan rece ima mali milion stvari ali i mogucnosti kako sve to moze da se spakuje.

---

https://dev.mysql.com/doc/refman/5.5/en/encryption-functions.html

https://dev.to/robdwaller/how-...-json-web-token-using-php-3gml

https://coderwall.com/p/8wrxfw...sessions-hello-json-web-tokens

https://stormpath.com/blog/token-management-in-php