Sto iniziando a sviluppare app per Android e iOS che effettuano chiamate API a un'applicazione Web PHP che svilupperò. Agli utenti sarà richiesto di registrarsi con un nome utente, una password e (facoltativo) numero di telefono ed e-mail, e ho intenzione di mantenere questi dati in un database SQL. Gli utenti potranno registrarsi dalle app telefoniche e sul sito Web in cui è ospitata l'API basata su PHP. So che troppo spesso gli sviluppatori di applicazioni non danno priorità alla sicurezza e mi piacerebbe assicurarmi di farlo.
In termini di sicurezza dei server web cosa posso fare per assicurarmi che i dati dei miei utenti rimangano al sicuro? Durante lo sviluppo, quali tipi di pratiche di sicurezza dovrei adottare per mantenere la mia applicazione più sicura possibile? (ad esempio, sanitizzare l'immissione di nome utente / password per impedire l'iniezione SQL, SSL per le chiamate API dalle app al server web, non effettuare chiamate API con password in chiaro, ecc.)
So che la domanda è ampia, ma penso che ogni risposta rappresenti la possibilità di una maggiore protezione a cui non ho pensato.