Eu tenho o seguinte no meu site PHP:

SSL ativado

Biscoitos :

session_set_cookie_params($cookieParams["lifetime"], 
$cookieParams["path"], $cookieParams["domain"], $secure, $httponly);

Senhas SHA512 em trânsito, depois password_hash () e finalmente PASSWORD_BCRYPT

Instruções preparadas do MysqliEntradas todas higienizadas quando INSERTING / UPDATE no Mysqlhtmlentities etc. usado para evitar xss sempre que possível.

Agora estou procurando usar a função AES_Encrypt para criptografar dados confidenciais, com a chave $ para criptografar e descriptografar armazenada fora do diretório raiz da web.

Isso pode potencialmente armazenar dados do paciente, o que eu tenho instalado parece seguro o suficiente?

Pergunta, questão:

Como você está limpando as entradas ao inserir / atualizar? Se você estiver usando instruções preparadas, não deverá escapar manualmente dos dados.

Responda:
exemplo:

  $firstname = ucwords(filter_input(INPUT_POST, 'firstname', FILTER_SANITIZE_STRING));