类似身份证这些很私密,而且重要的东西,如果需要用户上传身份证图片,怎么存储和展示安全性高一点?
图片存到服务器,向用户展示的时候用URL的形式?
就比如淘宝等的卖家验证的时候,需要传身份证图片,整个流程应该是怎么样的?
回复内容:
类似身份证这些很私密,而且重要的东西,如果需要用户上传身份证图片,怎么存储和展示安全性高一点?
图片存到服务器,向用户展示的时候用URL的形式?
就比如淘宝等的卖家验证的时候,需要传身份证图片,整个流程应该是怎么样的?
首先不要在常识上作死:
- 涉及敏感身份信息时,HTTPS是必须的。
- 图片千万不要给出直接访问到图片文件的地址。
- 图片文件本身一定要在www根目录之外,实在不行那就要用http服务器的规则(
.htaccess
等)卡死一切访问。 - 千万不要用referer之类自欺欺人的限制方法。
- 敏感信息必须分库,测试环境和生产环境必须严格分离,DBA和开发必须严格分权。严禁开发人员在真正的敏感信息库中“畅通无阻”。
常识没问题的基础上,从访问控制技术来说:
- 实际上只要敏感信息(身份证图,以及姓名性别身份证号等文字)HTTPS就可以了。完全可以HTTP页面+JS脚本动态请求HTTPS内容,甚至
<iframe></iframe>
也是个选择。如果条件不允许,其实不一定要一步到位全程HTTPS。 - 图片务必用PHP请求直接写给用户,这样才有可能用代码来保证卡住图片的访问权。
从安全策略来说:
- 社会工程学才是杀招。真正最不安全的地方是用户自己。
- 用户只要完成普通登录,就获得操作自己的数据的全部权力,这是极其危险的。
- 所以一定要引入两步验证。一般的操作,普通登录即可;但对敏感数据的操作,必须二次验证。
- 二次验证时验密是肯定的,必要时还可以考虑加验安全问题/手机验证码/出生日期等其他信息。
- 二次验证成功后(允许操作敏感信息)的超时时间,必须比一次验证(用户普通登录)的要短。造成用户即使尚未退出登录,但对敏感信息的操作已经需要重输密码的效果就对了。
- 二次验证绝对不能有任何的“保存密码”一类的设计。
- 允许用户在多个浏览器(或多个终端)上同时登录(一次验证)没有问题,但二次验证必须卡死:同一时刻只有一个终端,能够获得二次验证之后的登录权。
- 终端的识别办法很多。用session识别是最基本的,如果还能记录用户ip那就很安全了。
那么总结一下:
- 部署二次验证。
- 二次验证成功后,后台在数据库(或缓存)中记录:用户u,在IP地址为x的y终端上,在z时刻之前对敏感数据有访问权。
- 对敏感数据的一切操作(上传表单、下载图片、下载文字信息等),后台都要验证xyz是否符合。符合才能放行。
- 连一次登录都对不上的(登录者根本不是u),阻止就好了。
- 麻烦的是一次认证正确(登录者确实是用户u),但二次认证信息xyz不符。
- 此时必须:【一】阻止请求敏感信息 【二】提示客户端重新做二次验证 【三】把数据库中的xyz清除,即只要发现这个用户一切的可疑访问,就认为这个用户有安全风险,把他从二次验证里踢出去。
你应该把这些身份证图片当成私人附件来存储。这些图片肯定是不能直接通过URL来访问的,比如你可以把这些图片存储在网站根目录外的其他目录。输出时由程序输出:
<code><?php auth(); //用户身份认证 header('Content-type: image/png'); //文件类型 readfile($file_path); //显示图片,$file_path是图片存储的路径 </code></code>
授权访问,为图片设置一个id和存储地址。
去获取的时候不是直接获取其地址,而是通过其唯一标识符

本文讨论了PHP中的crypt()和password_hash()之间的差异,以进行密码哈希,重点介绍其实施,安全性和对现代Web应用程序的适用性。

文章讨论了通过输入验证,输出编码以及使用OWASP ESAPI和HTML净化器之类的工具来防止PHP中的跨站点脚本(XSS)。

自动加载PHP会在需要时自动加载类文件,从而通过减少内存使用和增强代码组织来提高性能。最佳实践包括使用PSR-4和有效组织代码。

本文讨论了在PHP中管理文件上传大小的管理,重点是2MB的默认限制以及如何通过修改PHP.INI设置来增加它。

本文讨论了PHP 7.1中引入的PHP中的无效类型,允许变量或参数为指定类型或NULL。它突出显示了诸如提高可读性,类型安全性和明确意图的好处,并解释了如何声明

本文讨论了unset()和unlink()功能在编程中的差异,重点关注其目的和用例。 unset()从内存中删除变量,而unlink()从文件系统中删除文件。两者都对效率至关重要


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

安全考试浏览器
Safe Exam Browser是一个安全的浏览器环境,用于安全地进行在线考试。该软件将任何计算机变成一个安全的工作站。它控制对任何实用工具的访问,并防止学生使用未经授权的资源。

EditPlus 中文破解版
体积小,语法高亮,不支持代码提示功能

SublimeText3 Linux新版
SublimeText3 Linux最新版

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具