Какой уровень безопасности действительно необходим для «частного» сайта? [закрыто]

Я спрашиваю об этом, поскольку поддерживаю небольшой веб-сайт для довольно изолированной группы людей (не более 80). В настоящее время он имеет простую функцию входа в систему (электронная почта, пароль) и данные, которые «защищены». это просто контактная информация для наших членов (телефон, адрес, электронная почта). Сайт написан на PHP и использует My SQL.

В последние пару дней я читал на форумах и других сайтах о безопасности веб-сайтов, так как я хотел бы улучшить их на нашем сайте. В настоящее время безопасность состоит из защиты от SQL-инъекций и паролей с хэш-шифрованием MD5, хранящихся в базе данных. Это выглядит как неадекватное, но я также чувствую, что это слишком далеко. Я имею в виду, что это не совсем коды запуска ядерного оружия, но данные люди обычно чувствуют себя некомфортно для отображения в Интернете. Сам сайт размещен довольно известным веб-хостингом.

Единственная угроза, которую я вижу сейчас, - это шутники, спотыкающиеся по всему сайту и пробующие какую-то домашнюю смесь?

Поэтому я думал, что где-то посередине будет достаточно. подобно

SQL-injection protection (enhance if needed) Stronger hash method with salt XSS-protection DDoS-protection SSL when accessing the member area

Что вы, более опытные, думаете?

Обновление: я хотел бы добавить, что я делаю все сам, и нет никакого бюджета для покупки причудливых методов шифрования или найма профессиональных программистов.

 martinstoeckli18 июн. 2012 г., 08:35
Используйте bcrypt для хэширования ваших паролей, это не только для сайтов с высоким уровнем безопасности, и использовать его можно так же просто, как и использовать хэш md5. Есть библиотеки вродеphpassи если вы хотите понять, как это работает, вы можете прочитать этоarticle.
 Salman A18 июн. 2012 г., 08:23
The site itself is hosted by a fairly renown web host... больше не приватно!
 aroth18 июн. 2012 г., 08:36
Важнейшими из них будут защита от SQL-инъекций, минимальная сложность пароля для учетных записей пользователей, надежный пароль для вашей учетной записи SSH / администратора (или полное отключение аутентификации пароля и использование аутентификации с открытым ключом для учетной записи администратора), защита от удаленного включения файлов, защита XSS и пользовательская изоляция для вашего процесса httpd. Приятно было бы иметь SSL для пост-аутентификационного контента. В этом случае не требуется улучшенное хеширование паролей в базе данных, защита от DDoS и защита от CSRF. Нет ничего плохого в том, чтобы иметь их, но если вы не получите целевого атакующего, они вам не понадобятся.

Ответы на вопрос(2)

Решение Вопроса

SQL injection, Вы должны видеть:

Best Way to Prevent SQL Injection

Это скажет вам использоватьPDOпараметризованные запросы.

Узнать оgeneral security issuesсм. этот пост, который охватывает много:

PHP Security Guide (By PHP Security Consotium)

Audit Ваш сайт в плане безопасности использует:

OWASP

А также

PHPSec

phpSec is a open-source PHP security library that takes care of the common security tasks a web developer faces.

 Sandokan18 июн. 2012 г., 08:21
Это потребует установки? Причина. У меня нет доступа к серверу, так как он является общим хостом.
 18 июн. 2012 г., 08:23
@Sandokan: Да, но не беспокойся об этом. Прочитайте руководство по безопасности, а затем код с учетом этих пунктов.

Ваш ответ на вопрос