Pracując nad różnymi systemami/stronami itp. zbierałem uwagi dotyczące poprawy bezpieczeństwa. Na dole znajdziecie listę wraz z krótkim opisem o co dokładnie chodzi.
- Wyłączyć globals – https://help.1and1.com/hosting-c37630/scripts-and-programming-languages-c85099/php-c37728disable-php-global-variables-a708570.html
- Połączenia do bazy SQL tylko lokalne – http://stackoverflow.com/questions/13208614/restricting-mysql-connections-from-localhost-to-improve-security
- Blokada niebezpiecznych funkcji PHP – http://stackoverflow.com/questions/13209383/block-php-functions-which-are-not-suppose-to-use-publicly
- Wyłączenie Magic Quotes – http://php.net/manual/en/security.magicquotes.disabling.php
- Panel Administratora dostępny tylko dla dozwolonych IP
- phpMyAdmin – Dostępny tylko dla dozwolonych IP
- Zablokowanie listowania katalogów – http://techglimpse.com/enable-directory-listing-mode-nginx/
- libxml_disable_entity_loader – wyłączenie ładowania zewnętrznych entities http://php.net/manual/en/function.libxml-disable-entity-loader.php
- Ustawianie ważnych plików na immutable – http://www.aboutlinux.info/2005/11/make-your-files-immutable-which-even.html
- Używanie PDO – http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
- Dostep do SSH po kluczach – http://www.ece.uci.edu/~chou/ssh-key.html
- Aktualizacja PHP do najnowszej wersji
- Wyłączenie OUTFILE i INFILE MySQL – http://stackoverflow.com/questions/18168005/how-to-disable-outfile-and-infile
- Dbanie o odpowiednie granty na bazie https://dev.mysql.com/doc/refman/5.1/en/grant.html
- Używanie HTTPS – http://en.wikipedia.org/wiki/HTTPS
- Oczywiście używanie mocnych haseł –
- http://passwordsgenerator.net/
- https://www.safetydetectives.com/password-meter/
- Dlaczego nie powtarzać haseł można przeczytać w tym artykule ( https://pixelprivacy.com/resources/reusing-passwords/ )
- Ochrona przed XSS – http://stackoverflow.com/questions/5414962/protection-against-xss-exploits