Pracując nad różnymi systemami/stronami itp. zbierałem uwagi dotyczące poprawy bezpieczeństwa. Na dole znajdziecie listę wraz z krótkim opisem o co dokładnie chodzi.

• Wyłączyć globals – https://help.1and1.com/hosting-c37630/scripts-and-programming-languages-c85099/php-c37728disable-php-global-variables-a708570.html
• Połączenia do bazy SQL tylko lokalne – http://stackoverflow.com/questions/13208614/restricting-mysql-connections-from-localhost-to-improve-security
• Blokada niebezpiecznych funkcji PHP – http://stackoverflow.com/questions/13209383/block-php-functions-which-are-not-suppose-to-use-publicly
• Wyłączenie Magic Quotes – http://php.net/manual/en/security.magicquotes.disabling.php
• Panel Administratora dostępny tylko dla dozwolonych IP
• phpMyAdmin – Dostępny tylko dla dozwolonych IP
• Zablokowanie listowania katalogów – http://techglimpse.com/enable-directory-listing-mode-nginx/
• libxml_disable_entity_loader – wyłączenie ładowania zewnętrznych entities http://php.net/manual/en/function.libxml-disable-entity-loader.php
• Ustawianie ważnych plików na immutable – http://www.aboutlinux.info/2005/11/make-your-files-immutable-which-even.html
• Używanie PDO – http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
• Dostep do SSH po kluczach – http://www.ece.uci.edu/~chou/ssh-key.html
• Aktualizacja PHP do najnowszej wersji
• Wyłączenie OUTFILE i INFILE MySQL – http://stackoverflow.com/questions/18168005/how-to-disable-outfile-and-infile
• Dbanie o odpowiednie granty na bazie https://dev.mysql.com/doc/refman/5.1/en/grant.html
• Używanie HTTPS – http://en.wikipedia.org/wiki/HTTPS
• Oczywiście używanie mocnych haseł –
  • http://passwordsgenerator.net/
  • https://www.safetydetectives.com/password-meter/
  • Dlaczego nie powtarzać haseł można przeczytać w tym artykule ( https://pixelprivacy.com/resources/reusing-passwords/ )
• Ochrona przed XSS – http://stackoverflow.com/questions/5414962/protection-against-xss-exploits