ベストウェザーの基本的なウェブセキュリティを学ぶ

Question

私は16歳で、人々のために多くのウェブデザインをしています。私は、フォームを扱う際に、時折PHPから離れて、ほとんどフロントエンドの設計をしています。私は基本的な滅菌とバリデーションを管理する方法を知っていますが、私はユーザー管理やログインシステムのようなより複雑なものを学びたいと思います。私はjs、MySQL、PHPなどの周りに私の方法を知っている...しかし、私はそのようなシステムを確実に確信していない。私は誰もWebセキュリティのすべてのガイドを解決する人はいないと知っていますが、助けてくれるガイド、リソースなどを知っている人がいるかどうかは疑問です。私は主に学びたい何

：

• 設定とセキュリティの目的
• ためにクッキーを使用して、一般的なPHPのセキュアなログインシステム
• を構築するSSL証明書
• を扱うSSL証明書
• を取得セキュリティ
• SQLセキュリティ

私の最終目標は、基本情報を持つユーザーでサイトを構築できるようにすることです。SQLデータベースに安全に保存できる（支払いの詳細はありません）。私はユーザーがログインと編集システムにサインアップできるようにしたい。私は前にこのようなものを作成しましたが、SSLでは作成しませんでした。私の質問は、SSLでこれをどうやって学ぶのですか？

誰かが... - 私をガイドに導きます。 - 私に例を教えてください。 - 私を正しい方向に向ける。

私はその非常に広い質問をとても残念に思っているように（通常このような質問を投稿する人を嫌う人として）。 アドバイスをいただければ大変助かります。

EDIT：私の本当の質問は、証明書を購入した後でSSLを使用する方法を学ぶ方法です。

Answer 1

私が知っているポイントを追加します。

ここでは、SQLのセキュリティ - 基本的な原則は、ユーザーの入力を信頼して、それをすべて消毒しないでください。例えば、htmlentitiesや実際のエスケープ文字列：MySQLiのような組み込み関数が用意されています。

セキュリティ目的のためにCookieを使用する - Cookieは、ユーザーが適切に見えるようにCookieを変更できるため、常に失敗の原因となります。最善の方法は、Cookie内のランダムな文字列を使用して、後でユーザーを識別することです。たとえば、50文字のランダムな文字列を生成してクッキーに入れ、しばらくの間有効期限が切れるようにしてIDをSQLに格納すると、次回ユーザーが接続するときにその文字列をチェックできますSQL内のIDを調べ、ユーザーが誰であるかを確認します。それでも安全ではありませんが、cookieの中にあるuser_idの、あるいはそれ以上のパスワードを残すだけで安全ではありません。セッションを使用する方が安全ですが、クッキーを使用する必要がある場合は、それが私のやり方です。

セキュリティで保護されたログインシステムを構築する - ここではSSLが鍵です。もう1つはパスワード暗号化です。 PHPの場合は、password_hashを使用してパスワードをハッシュします。パスワードを盗まれないようにする最も良い方法は、パスワードを盗むことです。たとえば、AESを使用してpassword_hash自体を、あなたが知っているキーを持つ別のランダムな文字列で暗号化することができます。そのため、解読してパスワードを確認することができます。また、ここでは、失敗したログインカウンタをページに残しておくことを忘れないようにしてください。そうしないと、他の多くの可能性のあるパスワードでサイトが氾濫してしまうかもしれません。また、簡単に見つけられない安全なパスワード（test123、パスワード、pa55w0rdなど）を強制します。

SSL証明書を設定して取得する - エンドユーザーもCAが認識されないというメッセージを受け取らずに受け入れることができるSSL証明書を取得するには、SSL証明書を購入する必要があります。 。