Codeigniter 中内置网站的启动前安全检查表

Question

在启动使用 Codeigniter 构建的网站之前，应该检查哪些安全问题？我的网站的功能是登录、表单处理、限制页面等。这是一个学生舱的预订系统。请随意撰写有关一般安全问题的文章。

Answer 1

首先，没有一个网站是 100% 安全的，最大安全性通常不是目标。这是安全性和可用性之间的权衡。如果您实际上并未在网站上接受订单并处理存款或付款，则您的需求会有所减少。这是一个开始：

1. 基本前提是拒绝与预订部分相关的一切，直到完成适当的授权和身份验证，然后允许访问您网站的该部分。不确定您的网站是如何设计来实现此目的的。

2. 删除所有打印详细错误信息或显示开发期间使用的会话或变量数据的代码。

3. 验证所有表单输入都经过验证。

4. 重新检查您授予用户、访问者和管理员的 mySQL 权限。用户应该只有 SELECT、INSERT 和 UPDATE。访问者只需选择。

5. 验证密码是否未以明文形式存储。

6. 您允许上传文件吗？如果是这样，需要防止远程文件包含攻击。

7. 您是否在 Codeigniter 中启用了 CSRF 以防止 CSRF 攻击？

这是一个开始。我相信其他人可以添加他们的经验。