Bezpieczeństwo aplikacji internetowej i bazy danych.

Witam,
Od około 3 lat tworzę strony i aplikacje internetowe. O ile jeśli chodzi o strony chętnie wykonuje zlecenia i je publikuję, o tyle wszystkie aplikacje, które napiszę (nie jako zlecenie, ale z pasji) lądują w szufladzie, bo nie czuję się pewnie ponosząc odpowiedzialność za przechowywanie danych użytkowników.
Po prostu nie wiem jak skutecznie zabezpieczyć przechowywane dane i sam proces wysyłania ich do bazy. Za każdym razem mam poczucie, że łatwo je by było wykraść w przypadku publikacji.
Mam pomysł na ciekawą aplikację, do której chciałbym podejść nieco poważniej i stąd pytanie - na co zwracać uwagę przy pisaniu aplikacji internetowych opartych o bazę danych, aby były one bezpieczne?
Może macie jakieś ciekawe artykuły, które dobrze tłumaczą ten temat?

Ps. Wiem, że jest małe prawdopodobieństwo ataku na małą aplikację nie przechowującą wrażliwych danych, ale chciałbym zabezpieczyć się na wszelki wypadek.

Nikogo nie obejdzie twoja aplikacja, az nie bedziesz duzy. A to moze sie stac szybko i stad taka obawa. Ja pisze apki czy gry z uzyciem firebase od googla ale mozesz uzyc AWS wtedy nie musisz sie martwic, masz szyfrowane polaczenia, dobre haslo, zabezpieczony Injection i oni juz zadbaja o bezpieczenstwo baz wiec spokojnie mozesz tak zaczac.

• Przede wszystkim zważaj na SQL Injection. Sporo gotowych narzędzi przyjdzie Ci z pomocą ale i tak miej się na baczności.
• Wydziel bazę na osobny serwer względem aplikacji
• Kwestia szyfrowania połączeń.
• Dobieraj ostrożnie uprawnienia dla użytkowników bazy danych (tylko niezbędne)
• Rób backupy
• Zainteresuj się database activity monitoring
• Zainteresuj się bezpieczeństwem nagłówków aplikacji
• Jeśli umożliwiasz użytkownikom (tylko sobie?) logowanie do aplikacji- użyj 2FA
• Wymuszaj 'trudne' hasła na użytkownikach
• i hardcore tip: Szyfruj wszystkie dane wrażliwe w bazie

Eeee... od 3 lat zajmujesz się stronami www, a dopiero teraz pytasz się o takie coś? Oj, trza nadrobić zaległości, bo to fundament.

Artykuł na początek:
http://www.php.pl/Wortal/Artykuly/Bezpieczenstwo/Podstawy-bezpieczenstwa-skryptow-PHP

Pytanie, czy korzystasz z vanillowego PHP'a czy jakiegoś frameworka? Frameworki narzucają pewne metodyki pracy dzięki czemu jesteś w stanie w łatwy sposób zabezpieczyć się przed atakami SQL Injection czy CSRF. Oczywiście, nigdy nie osiągniesz 100% ochrony.

Gouda105 napisał(a):

Witam,

Od około 3 lat tworzę strony i aplikacje internetowe. O ile jeśli chodzi o strony chętnie wykonuje zlecenia i je publikuję, o tyle wszystkie aplikacje, które napiszę (nie jako zlecenie, ale z pasji) lądują w szufladzie, bo nie czuję się pewnie ponosząc odpowiedzialność za przechowywanie danych użytkowników.
Po prostu nie wiem jak skutecznie zabezpieczyć przechowywane dane i sam proces wysyłania ich do bazy. Za każdym razem mam poczucie, że łatwo je by było wykraść w przypadku publikacji.
Mam pomysł na ciekawą aplikację, do której chciałbym podejść nieco poważniej i stąd pytanie - na co zwracać uwagę przy pisaniu aplikacji internetowych opartych o bazę danych, aby były one bezpieczne?
Może macie jakieś ciekawe artykuły, które dobrze tłumaczą ten temat?

Ps. Wiem, że jest małe prawdopodobieństwo ataku na małą aplikację nie przechowującą wrażliwych danych, ale chciałbym zabezpieczyć się na wszelki wypadek.

Chyba najprościej byłoby gdybyś udostępnił jedną z takich apek, wtedy łatwo byłoby wskazać gdzie są luki.