[ SadaBeograd @ 11.09.2018. 15:31 ] @
| Zdravo ljudi...
Trebam da odradim prost CRUD u kome ce se nalaziti baza korisnika neke firme (ime, prezime, broj telefona, JMBG).
Zbog rizicnosti od kradje podataka, pogotovo JMBG-a, zelim da vas pitam sta bih od sigurnosti mogao / trebao da uradim, da minimizujem sansu da dodje do neovlascenog pristupa bazi? |
[ jablan @ 11.09.2018. 15:34 ] @
Misliš na zaštitu svoje aplikacije, ili na zaštitu servera / baze?
[ SadaBeograd @ 11.09.2018. 15:45 ] @
Generalno, na kompletnu zastitu, odnosno, da ja kao osoba koja ce izraditi tu malu aplikaciju uradim sve sto je u mojoj moci.
[ jablan @ 11.09.2018. 16:18 ] @
Pa ima mali milion pravila, previše ti je opširno pitanje. Samo neka su: koristi prepared statements, ne koristi eval, ne stavljaj šifre za bazu u kod, piši testove, unajmi nekog da ti uradi security audit, poveri administraciju servera i baze profesionalcima, itd itd.
[ SadaBeograd @ 11.09.2018. 16:20 ] @
Server je onaj klasican, shared varijanta.
Koristim prepared, s tim sto podatke za konekciju na bazu cuvam u posebnom fajlu koji kasnije includujem, ali je vidljiv, da.
- Da li cPanel directory protection ima neku svrhu povodom sigurnosti?
- Da li mogu i cime preporucujes da zastitim JMBG kolonu, kojom enkripcijom?
[ bokinet @ 11.09.2018. 17:43 ] @
Ako se koristi MySQL za DBMS on u sebi vec ima AES f-je.
Imati na umu isto da sifra koja se koristi za kriptovanje/dekriptovanje treba da bude smestena negde na serveru te tako isto treba obratiti paznju gde.
Pored toga moze da se uvedu sesije kao i web api tokeni.
Sifre za korisnike mozes hash-ujes pomocu hush f-ja u kombinaciji sa nekim slat-om i da dobijenu vrednost cuvas u bazi zbog validacije korisnika.
Imati na umu i performanse kriptovanih podataka u bazi i pretragu takodje.
Kao sto @jablan rece ima mali milion stvari ali i mogucnosti kako sve to moze da se spakuje.
---
https://dev.mysql.com/doc/refman/5.5/en/encryption-functions.html
https://dev.to/robdwaller/how-...-json-web-token-using-php-3gml
https://coderwall.com/p/8wrxfw...sessions-hello-json-web-tokens
https://stormpath.com/blog/token-management-in-php
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.