لطفا هر نکته ای راجع به امنیت به ذهنتون می رسه رو در اینجا بیان کنید. البته از گفتن نکات تکراری مثل نکات زیر خود داری کنید!

1- ذخیره سسشن در دیتابیس
2- xss
3- هش کردن کلمه رمز و ذخره در دیتابیس
4- استفاده از توابع strip_tags و...
5- اعتماد نکردن به ورودی کاربر
6- ست کردن کوکی به شکل httponly

من برای حملات xss از بلاک کردن اتوماتیک آی پی استفاده می کنم نظر شما چیه این روش درسته...؟

هر کدوم از سر فصل هایی که بیان کردید کلی وقت میبره و بسیار گستردست !

سلام

راجع به مورد 5 که اعتماد نکردن به ورودی کاربر بود خیلی حرف ها برای گفتن داشتم اما حیف وقت توضیح دادن ندارم اما فقط بگم هیچ وقت نگویید که کاربر چنین کاری نخواهد کرد و لازم نیست این یک خط را اضافه کنم متاسفانه بعضی (نه همه!) از برنامه نویس ها را دیدم از روی تنبلی مدام در حال توجیه کردن کارهایشان هستند و بجای این که امنیت را بالا ببرند سعی می کنند صاحب سایت یا خودشان را قانع کنند البته این به مورد 5 تنها بر نمی گردد بصورت کلی می گویم . و حالا در مورد 5 می توانم بگویم تا می توانید از روش Escaping استفاده کنید چون این روش باعث می شود که خطاهای ورودی کاربر را به حداقل برساند فرضاً اگر بایستی مقدار یک متغیر عداد صحیح باشد. بایستی نوع متغیر را عددی انتخاب کنید.
ضمناً تا می توانید خطاها را کلی نشان دهید. فرضاً در سیستم ورود در صورت وارد کردن رمز عبور اشتباه پیام "نام کاربری یا رمز عبور اشتباه است" را نشان دهید نه پیام "رمز عبور شما اشتباه است." چون هکر می فهمد نام کاربری صحیح است و فقط باید رمز عبور را پیدا کنید اما در مورد بالا نمی داند که نام کاربری اشتباه است یا رمز عبور.

سعی می کنم هر روز بیشتر در مورد امنیت توضیح بدهم.

هیچ وقت نگویید که کاربر چنین کاری نخواهد کرد و لازم نیست این یک خط را اضافه کنم متاسفانه بعضی (نه همه!) از برنامه نویس ها را دیدم از روی تنبلی مدام در حال توجیه کردن کارهایشان هستند و بجای این که امنیت را بالا ببرند سعی می کنند صاحب سایت یا خودشان را قانع کنند البته این به مورد 5 تنها بر نمی گردد بصورت کلی می گویم
منظورتون اینه که چون برنامه نویس فکر می کنه کاربر این کار رو نمی کنه، از رعایت مسائل امنیتی خود داری می کنه؟