Руководство по защите веб-приложения ajax php

Вы ищете полное руководство по безопасности? Отправь мне копию, когда найдешь!

Краткий контрольный список:

• Возможности SQL?
• Подтвердите свои входные данные $ _GET и $ _POST и удалите все смешное
• Потеряйте get_magic_quotes_gpc () (или как там он называется)

И, конечно же, все, что должен делать ваш системный администратор:

• последняя версия PHP
• последняя версия MySQL

Я не уверен, что отсутствие внешних компонентов автоматически сделает вас более защищенным. Я использую ADODB для PHP, чтобы обрабатывать все свои SQL-запросы. Я знаю, что он проверяет возможности, поэтому мне не нужно этого делать.

Если вы говорите о защите приложения (в отличие от сервера / среды, на которой оно находится, что я не имею права решать), я бы подумал о следующем:

1. Убедитесь, что все вводимые пользователем данные анализируются / очищаются, чтобы убедиться, что они не могут выполнять такие действия, как Атаки с использованием SQL-инъекций. Сюда входят любые запросы ajax, в которых пользовательский ввод может храниться в строке запроса. Фактически, все, что передается в приложение из строки запроса, должно быть проверено / очищено таким образом..
2. Вы используете какие-нибудь пароли? В таком случае используйте SSL, чтобы остановить перехват пакетов. И хэшировать ваши пароли в базе данных с солью
3. Быстрый Google откопал это, что выглядит довольно неплохо: http://www.securityfocus.com/infocus/1706
4. Несколько советов по защите пользовательского ввода http://www.dagondesign.com/articles/writing-secure-php-scripts-part-1/

Наиболее важное правило при обработке пользовательского ввода: Подтвердить ввод, экранировать вывод.