Cześć. Możecie mi podpowiedzieć, jak w PHP (tzn. PDO) zabezpieczyć bazę, tabelę MySQL, hasła i może jeszcze coś o czym tu zapomniałem? Dzięki za odpowiedzi.
0
0
Jeżeli kontrolujesz również sam serwer to przede wszystkim bym wybrał inny silnik bazy danych. Chociażby z tego powodu, że skonfigurowanie backupu, który nie wiąże się z downtime/lockiem bazy jest bardzo uciążliwy - zwłaszcza jeżeli serwer jest tylko jeden i nie możesz go całkowicie wyłączyć.
Ale wracając do bezpieczeństwa - upewnić się, że serwer jest widoczny tylko dla aplikacji, czyli konfiguracja adresu/interfejsu nasłuchiwania + firewall. Użytkownik bazy danych z porządnym hasłem oraz tylko z prawami które są mu potrzebne. Inni użytkownicy niedostępni z poziomu serwera aplikacji webowej. Dodatkowo możesz wprowadzić wydzieloną warstwę dostępową dla wrażliwych danych (np. dla haseł), która powinna być prosta, nieskomplikowana i przez to mająca mniej wektorów ataku - ale to też nie panaceum na wszystko, zwłaszcza jeżeli ktoś będzie mógł zmodyfikować twój główny serwis webowy.
0
W dwóch (jak nie więcej) poprzednich Twoich tematach tłumaczyliśmy Ci już co i jak.
Hasła w PHP - zamiast md5, który gdzieś w kodzie miałeś użyj lepiej: http://php.net/manual/en/function.password-hash.php (http://php.net/manual/en/faq.passwords.php)
PDO - to było już wałkowane nie raz - bindujesz parametry zapytania i używasz execute zamiast sklejki z query.
0
@Rev dlaczego inny silnik? Nie wystarczy zaszyfrować hasła i PDO używać jak powiedział kolega w drugiej części postu wyżej?