深度防範原則是安全專業人員人人皆知的原則,它說明了冗餘安全措施的價值,這是被歷史所證明的。
深度防範原則可以延伸到其它領域,而不僅限於程式設計領域。使用過備份傘的跳傘隊員可以證明有冗餘安全措施是多麼的有價值,儘管大家永遠不希望主傘失效。一個冗餘的安全措施可以在主安全措施失效的潛在的起到重大作用。
回到程式設計領域,堅持深度防範原則要求您隨時有備份方案。如果一個安全措施失效了,必須有另一個安全措施提供一些保護。例如,在使用者進行重要操作前進行重新使用者認證就是一個很好的習慣,儘管你的使用者認證邏輯裡面沒有已知缺陷。如果一個未認證用戶透過某種方法偽裝成另一個用戶,提示輸入密碼可以潛在地避免未認證(未驗證)用戶進行一些關鍵操作。
儘管深度防範是合理的原則,但過度增加安全措施只能增加成本和降低價值。
以上就是PHP安全-深度防範的內容,更多相關內容請關注PHP中文網(www.php.cn)!