ความปลอดภัยคืออะไร?
ความปลอดภัยเป็นเพียงการวัดผล ไม่ใช่มาตรฐานที่แน่นอน
น่าเสียดายที่โครงการซอฟต์แวร์ส่วนใหญ่ระบุว่าความปลอดภัยเป็นข้อกำหนดง่ายๆ ปลอดภัยไหม? คำตอบสำหรับคำถามนี้เป็นแบบอัตนัยพอๆ กับการถามว่ามีอะไรร้อนหรือไม่
ค่าใช้จ่ายเพื่อให้ได้มาซึ่งความปลอดภัยควรจะสมเหตุสมผล
การบรรลุระดับความปลอดภัยที่เพียงพอนั้นง่ายและราคาไม่แพงสำหรับแอปพลิเคชันส่วนใหญ่ อย่างไรก็ตาม หากข้อมูลที่จำเป็นต้องได้รับการปกป้องมีค่ามากหรือข้อกำหนดด้านความปลอดภัยเข้มงวดมาก คุณจะต้องจ่ายเพิ่มเพื่อเพิ่มระดับความปลอดภัย ต้นทุนนี้ควรรวมอยู่ในงบประมาณของโครงการ
ความง่ายในการใช้งานควรสมเหตุสมผลเพื่อให้เกิดความปลอดภัย
ปรากฏการณ์ที่พบบ่อยมากก็คือ แม้ว่าความปลอดภัยของแอปพลิเคชันบนเว็บจะเพิ่มขึ้นอย่างมาก แต่ความสะดวกในการใช้งานก็ลดลงอย่างมากเช่นกัน รหัสผ่าน เวลาหมดอายุของ SESSION และการควบคุมการเข้าถึงจะก่อให้เกิดอุปสรรคต่อผู้ใช้ที่ถูกกฎหมาย บางครั้งจำเป็นต้องจัดเตรียมการรักษาความปลอดภัยที่เหมาะสมสำหรับแอปพลิเคชัน แต่นี่ไม่ใช่โซลูชันเดียวสำหรับทุกแอปพลิเคชัน ควรให้ความสำคัญกับผู้ใช้ที่ถูกกฎหมายมากขึ้นเมื่อบังคับใช้กฎความปลอดภัย
การรักษาความปลอดภัยจะต้องเป็นส่วนหนึ่งของการออกแบบ
หากคุณไม่คำนึงถึงความปลอดภัยเมื่อออกแบบแอปพลิเคชัน คุณถูกกำหนดให้ค้นหาช่องโหว่ด้านความปลอดภัยใหม่ๆ อย่างต่อเนื่อง โปรแกรมที่เขียนอย่างระมัดระวังไม่สามารถชดเชยการออกแบบที่ไม่ดีได้
ขั้นตอนพื้นฐานในแอปพลิเคชันส่วนใหญ่มีไว้เพื่อประโยชน์ของผู้ใช้ที่ถูกกฎหมาย
การออกแบบที่ปลอดภัยเป็นเพียงส่วนหนึ่งของโซลูชันเท่านั้น ในระหว่างการพัฒนา เมื่อการเขียนโค้ดเริ่มต้นขึ้น จำเป็นต้องพิจารณาผู้ใช้แอปพลิเคชันที่ถูกกฎหมายด้วย โดยทั่วไป เป้าหมายคือการทำให้แอปพลิเคชันทำงานตามที่ตั้งใจไว้ ในขณะที่จำเป็นต้องใช้ฟังก์ชันการทำงานของแอปพลิเคชันที่เหมาะสม ซึ่งไม่ได้ทำให้แอปพลิเคชันมีความปลอดภัยมากขึ้น
ฝึกฝนตัวเอง
บรรดาผู้ที่อ่านคู่มือนี้มีความกังวลเกี่ยวกับความปลอดภัย และถึงแม้จะฟังดูเหมือนโบราณ แต่นี่เป็นขั้นตอนที่สำคัญ มีแหล่งข้อมูลมากมายบนเว็บหรือในหนังสือ และหลายแหล่งรวมอยู่ในพื้นที่เก็บข้อมูลของ PHP Security Alliance: http://phpsec.org/library/
ขั้นแรก ให้กรองข้อมูลภายนอกทั้งหมด
การกรองข้อมูลเป็นรากฐานสำคัญของการรักษาความปลอดภัยของแอปพลิเคชันบนเว็บในทุกภาษาและบนแพลตฟอร์มใดๆ การเริ่มต้นตัวแปรและการกรองข้อมูลทั้งหมดที่ได้รับจากภายนอกช่วยให้คุณได้ผลลัพธ์เป็นสองเท่าโดยใช้ความพยายามเพียงครึ่งเดียว และด้วยต้นทุนที่ต่ำ ผู้จัดการจะป้องกันช่องโหว่ด้านความปลอดภัยที่สำคัญที่อาจเกิดขึ้นได้ บัญชีขาวดีกว่าบัญชีดำ ซึ่งหมายความว่าข้อมูลทั้งหมดควรได้รับการพิจารณาว่าผิดกฎหมายจนกว่าจะพิสูจน์ได้ว่าถูกต้องตามกฎหมาย (ดีกว่าการพิจารณาข้อมูลทั้งหมดถูกกฎหมายจนกว่าจะพิสูจน์ได้ว่าผิดกฎหมาย)