PHP 代碼安全設計注意要什么

身份認證設計

• 用戶身份認證的強度設計
• 對高價值交易和進入保護區域的用戶需要進行重新認證
• 認證失敗后的處理方式
• 使用強口令策略
• 使用圖片驗證碼
• 敏感信息加密處理

訪問控制

• 限制普通用戶對資源的訪問;
• 應用軟件啟動權限最小化
• 敏感功能IP地址控制
• 盡量采用統一的訪問控制機制
• 資源請求數量限制
• 在服務器端實現訪問控制

會話管理

• 限制會話壽命
• 確保會話的安全創建
• 確保會話數據的存儲安全
• 確保會話的安全終止
• WEB頁面應避免跨站請求偽造
• WEB系統確保會話憑證的安全

數據安全

• 盡量避免明文存儲敏感信息
• 避免在代碼中存儲敏感信息
• WEB系統,不要在永久性cookie中存儲敏感數據
• 避免在配置文件中明文存儲數據庫連接、口令或密鑰
• 確保通信通道的安全
• 禁止自創加密算法

回答所涉及的環境：聯想天逸510S、Windows 10。