security - 精通网络安全的步骤

Question

我使用 C++、Matlab 和类似的科学语言编写代码已有很长一段时间了，但我最近想涉足网络编程。我自学了 HTML 和 CSS，还涉足了 Javascript、PHP 和 MySQL。我真的很想开始制作更高级的、用户驱动的网站(如果这有意义——最终网站在功能上类似于 twitter 和 facebook)，但我担心我对互联网安全和漏洞，以确保我做出的编程决定是安全的。

您有什么建议或信息可以帮助我对我生成的代码的安全性充满信心。

如果这些都没有意义，或者您想得到一些说明，请直接提问。

Answer 1

其他提交的答案提供了很好的建议，但要将其分解为规则系统:

1. 多疑

   1. 假设您的用户充满敌意。
   2. 假设您的代码不安全。

   3. 验证(客户端和服务器端)一切:

      1. ...您的用户提交。
      2. ...您存储在数据库中。
      3. ...您从数据库中读取的内容。
   4. 不要让您的用户看到任何不是您创建的错误消息。如果 `verify_username() 恰好需要两个参数` 不要让您的用户永远看到该错误消息。他们不应该知道您的函数的名称，也不知道他们期望使用什么、输出什么或失败什么。

2. 聪明点

   1. 你的代码，还有我的，都很糟糕；掌握新工作。
   2. 围绕主题阅读，即使是您觉得乏味的，肯定您难以理解的。
   3. 假设您的用户比您聪明(那些积极敌对的用户可能比您更有经验地破解锁)。
   4. 对您能想到的所有内容进行错误检查，然后让一个四岁左右的 child 按所有内容并填写您可能拥有的任何表格/字段。如果出现异常情况(字母数字而不是整数或其他任何内容)，请添加错误条件以阻止它向世界公开脚本的内部结构。
   5. 尽可能将所有内容移到 Web 根目录之外，以防止用户从其他站点或他们的机器访问您的脚本。

这可能有点凄凉或愤世嫉俗，但即使有这些规则，我也不认为我们会“安全”。安全是 war 升级的最古老形式之一；有些我们赢了，有些我们输了，但我们只会听到失败的消息。我们不太可能听说所有这些。

尽最大努力记住这些，然后，如果您想到任何更偏执的方法来影响您网站的安全，请不要犹豫，变得更实际偏执。并回馈社会；我们都需要这方面的帮助。