問題描述

沒接觸過網(wǎng)絡(luò)安全，請教各位大佬，把用戶信息放到數(shù)據(jù)庫后怎么保證安全？

問題解答

題主你這個問題問得好大... 從以下幾個方面著手吧：

數(shù)據(jù)庫權(quán)限：連數(shù)據(jù)庫不要老用root，給web應(yīng)用單獨開帳號，最小化權(quán)限

數(shù)據(jù)庫密碼：不要弱密碼，盡量搞個隨機(jī)生成的16位以上的密碼

web服務(wù)器：同數(shù)據(jù)庫，密碼盡量復(fù)雜化，盡量不要直接用root帳號，單獨開帳號，只有在必須需要的時候才用root

web應(yīng)用：

盡量選一個好點的DB庫或ORM庫，使用參數(shù)化的SQL查詢，不要直接把參數(shù)拼在SQL里面，防止SQL注入

用戶（包括后臺管理用戶）的密碼信息不要直接存儲，應(yīng)加鹽hash后再存儲

如果可以，盡量使用HTTPS

渲染HTML的時候，盡量使用編碼后再輸出，防止XSS

非得輸出一段用戶控制的富文本HTML的時候，使用htmlpurifier這樣的過濾器，防止XSS

遵循HTTP動詞語義，增刪改類操作使用POST/DELETE/PUT，并增加csrf_token，防止CSRF攻擊

暫時想到這么多，web安全還有很多要注意的點，建議LZ直接請個安全顧問吧。

首先，你的前端以及后端代碼要保證其安全性，不能出現(xiàn)XXS或者SQL注入等攻擊漏洞，再者就是數(shù)據(jù)庫服務(wù)器與Web服務(wù)器進(jìn)行分離，這樣即可以提高一部分的安全性能也可以使網(wǎng)站提升效率。另外用戶信息中的密碼最好全部通過特定的加密方式進(jìn)行加密處理之后再存儲到數(shù)據(jù)庫，保證其被盜取之后盜取者也很難知道其真實密碼，望采納！