バックエンドに管理パネルがあるウェブサイトを初めて構築しています。セキュリティ上の問題が懸念されています。セキュリティに関する一般的なアドバイスとSSL証明書
DETAILS
- 管理パネルが
- メインのWebサイトからアクセスすることはできませんすべてのユーザーが最初に最小化するために、MySQLデータベースにパスワードを格納するため
- Blowfist(bcryptのを)管理パネルを使用するにはログインする必要があります虹の表のリスク
- すべてのパスワードは、記号、az、0-9を使用し、8文字です。
- bcrypt toブルートフォース攻撃を最小限に抑える
- 複数のMySQLユーザーは、適切なタスク(たとえば、 SELECTのみ)すべてのユーザ入力がmysql_real_escape_stringの通過エスケープされ
- ()+にhtmlentities
- サーバー側+クライアント側の入力検証が
- すべてのユーザ入力が適切なレベルに制限されている すべての$ _GET変数が前に確認されている
- ユーザーが機密データ
それは私が今持っているすべてです。これまで私はどのようにしていますか?また、この問題でSSL証明書が必要ですか?アドバイスや提案は非常に高く評価されており、事前に感謝します!
下記の素晴らしい回答のアドオンと同じように、パスワードは「8文字」と書かれています。これは、それよりも小さくてもそれ以上であってはならないということですか?パスワードの長さを設定することで、パスワードをずっと簡単に解読できます。代わりに、8〜14文字のような範囲を使用してください。 –
@cillosis - 私に個人的に尋ねると、パスワードを20文字長くしても構いませんが、ユーザーが苦労することはわかります。 8は最小値で、すべてのユーザーはphpmyadminを使用して手動で管理します。私は、ログインごとに動的に生成された塩と一緒にブローフィッシュを使用していることを考慮すると、8文字はまだ悪いですか? – Mortis
私の関心は必ずしも長さが固定されているとは限りません。 –