پاسخ : هک کنید, جایزه بگیرید!
خدمت استارتر محترم عرض کنم ، اگه زرنگ باشید توی همین تاپیک مباحث خوبی در مورد امنیت اشاره شد .
بهتره خودتون دست به کار بشید
اگه نیاز ندارید که داده های html رو ذخیره کنید ! از تابع strip_tags استفاده کنید ، نفوذه XSS حل میشه .
برای session hijack که معمولاً روی هاستهای اشتراکی است ، بهتره یوزر ایجنت و آی پی یوزر لاگین شده رو هم توی دیتابیس ذخیره کنید و صرفاً فقط آی دی یوزر رو از سسشن بخونید و هربار اطلاعات یوزر رو با استفاده از آی دی که توی سسشن موجود هست از دیتابیس بخونید و چک کنید .
برای sql injaction از escape نوع درایور دیتابیستون استفاده کنید همچنین از لیست سفید هم استفاده کنید . یا از preg_match برای مقادیر نام و نام کاربری و ...
برای CRSF هم یک مقدار رندوم ، در هنگام لاگین توی کوکی کاربر قرار بدید ، و در آدرسهایی که استفاده میکنید این مقدار رو بصورت کوئری استرینگ قرار بدید و در هر صفحه مقدار کوئری استرینگ رو با مقدار کوکی ست شده چک کنید که صحت صفحه درخواستی مشخص شود . (خواستید بیشتر توضیح میدم .)
اینها رو رعایت کنید امنیت شما بیشتر از 90 درصد تضمین شده هست .
در آخر یه دور با برنامه های havij , Acunetix سایتتون رو چک و اسکن کنید .
موفق باشید
پاسخ با نقل قول