2

5 か月前に「ログイン/登録」システムを備えた Web サイトを作成しましたが、MYSQL について十分な知識がありませんでした..ちょうど良いアイデアがあり、それを公開したかったのです..シリアル化された配列とその配列内にメンバーID、ユーザー名、パスワード、および電子メールを含むファイル..暗号化なしでそれを行うのに十分なダンプではなかったので、このようにしました

    ID : reversible manual encryption that uses search and replace to encrypt and decrypt
    Username : sha1 with salt
    Password : crypt
    email :manual encryption that uses search and replace to encrypt and decrypt

私のウェブサイトは現在正常に機能しており、これに関連する問題は発生していません

私が遭遇する可能性のあるセキュリティ上の問題はありますか?これからの 3 か月はとても忙しいので、本当に必要でないことに時間を無駄にしたくないからです..

4

1 に答える 1

1

bcrypt メソッドを使用した場合は、おそらくパスワードに最適です。ただし、重要なのは暗号化ではなく、これらすべてのユーザー データを含むファイルを Web ブラウザー経由でダウンロードできるかどうかです。適切な .htaccess ディレクティブでそのサブディレクトリをロックダウンしました。

したがって、何らかの方法で Web ブラウザーを介してシリアル化されたデータにアクセスできるかどうかを確認してください。ファイル名と場所はわかっているので、簡単です。他の人がしないからといって、そうしないとは限りません。

それ以外では、シリアル化されたファイルではなくデータベースにデータを保持するという決定は、通常、(単に) セキュリティのためではなく、利便性、パフォーマンス、および柔軟性のためです。

シリアル化されたファイルを使用できる場合は、必ずそれを使用してください。他の人がアクセスできない限り、問題はなく、実際に SQL インジェクションなどの他の攻撃ベクトルから逃れることができます。

于 2013-04-14T15:13:02.057 に答える