我的 PHP网站有以下内容:
>启用SSL
>饼干:
session_set_cookie_params($cookieParams["lifetime"],
$cookieParams["path"], $cookieParams["domain"], $secure, $httponly);
>传输时密码为SHA512,然后是密码_hash(),最后是PASSWORD_BCRYPT
> Mysqli准备好的陈述
> INSERTING / UPDATE进入Mysql时输入全部清理
> htmlentities等.尽可能避免使用xss.
我现在正在寻找使用AES_Encrypt函数来加密敏感数据,方法是在webroot目录之外存储加密和解密的$key.
这可能会存储患者数据,我现有的数据是否足够安全?
题:
How are you sanitizing the inputs when you INSERT/UPDATE? If you’re using Prepared Statements, you should not escape the data manually as well.
回答:
例:
$firstname = ucwords(filter_input(INPUT_POST, 'firstname', FILTER_SANITIZE_STRING));