javascript - データベース内の情報のセキュリティを確保するにはどうすればよいですか?

Question

私はネットワーク セキュリティにさらされたことがありません。ユーザー情報をデータベースに保存した後、セキュリティを確保する方法を教えてください。

Answer 1

あなたの質問は非常に大きな質問です...次の側面から始めましょう:

1. データベース権限: データベースへの接続に常に root を使用するわけではなく、Web アプリケーション用に別のアカウントを開き、権限を最小限に抑えます

2. データベースパスワード: 弱いパスワードを使用せず、16 文字を超えるランダムに生成されたパスワードを使用するようにしてください

3. Web サーバー: データベースと同様に、root アカウントを直接使用しないようにしてください。必要な場合にのみ root を使用してください。 #

ウェブアプリケーション:

4. SQL インジェクションを防ぐために、より適切な DB ライブラリまたは ORM ライブラリを選択し、パラメータ化された SQL クエリを SQL に直接入力しないようにしてください。

   1. ユーザー (バックエンド管理ユーザーを含む) のパスワード情報を直接保存しないでください。ソルトでハッシュしてから保存する必要があります

   2. 可能であれば、HTTPS を使用するようにしてください

   3. HTML をレンダリングするときは、XSS を防ぐために出力前にエンコードを使用するようにしてください

   4. ユーザー制御のリッチ テキスト HTML を出力する必要がある場合は、htmlpurifier などのフィルターを使用して XSS を防ぎます

   5. HTTP 動詞のセマンティクスに従い、追加、削除、変更操作には POST/DELETE/PUT を使用し、CSRF 攻撃を防ぐために csrf_token を追加します

   これを当面考えると、Web セキュリティにはまだ注意すべき点がたくさんあります。LZ はセキュリティ コンサルタントを直接雇うことをお勧めします。

Answer 2

まず第一に、フロントエンドとバックエンドのコードはセキュリティを確保し、XXS や SQL インジェクションなどの攻撃の脆弱性を回避する必要があります。次に、データベース サーバーと Web サーバーを分離する必要があります。これにより、一部の機能が改善されます。セキュリティパフォーマンスを向上させます。さらに、ユーザー情報内のすべてのパスワードは、データベースに保存される前に特定の暗号化方式を使用して暗号化されることが最適です。これにより、たとえ盗難されたとしても、実際のパスワードを知ることが困難になります。ぜひ採用してください！