Sto facendo un progetto minore sulla sicurezza delle informazioni in cui sto implementando le tecniche elencate di seguito per proteggere un database HEALTH CARE .
- Prevenzione dell'iniezione SQL (utilizzando istruzioni preparate, convalida, utilizzando un algoritmo di tokenizzazione)
- Prevenzione dell'attacco CSRF (inserimento di un token nascosto nel modulo)
- Prevenire l'attacco Brute Force (blocco dell'account dopo 5 tentativi falliti)
- Prevenzione di XSS
- Convalida di ogni input
- Avvio della sessione solo sui cookie
- Implementazione del database negativo. ( link )
- Crittografia delle informazioni riservate
- privilegio limitato per ogni utente
Modifica Sto anche implementando questi punti che non postare prima bcz ho pensato che siano meno importanti. ma le risposte qui mostrano chiaramente l'importanza di questi punti:
- Registro di controllo
- Password complessa
- Connessione protetta usando session_set_cookie_params
- Controllo di accesso
Così ora la mia domanda è- C'è rimasto qualcosa che mi dimentico ?? conosco alcuni di loro come la sicurezza sul livello di rete ecc. Sto facendo funzionare il mio progetto su localhost quindi penso di non poter fai qualsiasi cosa sul livello di rete.