Hallo liebe Community,
ich möchte eine Verwaltungsseite für Kunden erstellen und mich vorher hier mal der Sicherheit wegen umhören.
Die Seite werde ich definitiv in einem Unterordner deponieren und via htaccess Datei serverseitig schützen. Auch Robots etc. werden ausgeschlossen in dieser Datei.
Nun aber die große Frage. Da ich das System als einzige Person benutzen werde, stellt sich mir die Frage, ob ein Login-System dann neben der htaccess Sicherung noch Sinn macht? Oder wäre ein Session Login sicherer als ein htaccess Schutz?
Sollte ich bei den Datenbankabfrage trotz dessen alle Eingaben an die Datenbank auf logisches überprüfen (Zahlenwerte nur Zahlen, Stichwort SQL Injektion -> mysql_escape_string) bevor ich diese einspeise? Weiterhin habe ich gelesen, dass man dem Script nur bestimmte Rechte beim Zugriff auf die Datenbank erlauben soll mittels Benutzerrechten. Ich kann mir gerade nicht ganz vorstellen, wie ich das machen kann? (Normal erstelle ich die Datenbank über das Verwaltungssystem meines Providers und bekomme Datenbank und Nutzer genannt, wo kann ich da noch Rechte einräumen?)
Dann habe ich weiterhin gelesen, dass man lieber PHP Code in eine HTML Datei implementieren soll, damit ein externer Besucher die Scriptsprache nicht gleich erkennen kann. Kann das jemand bestätigen, dass das sinnvoll ist?
Welche weiteren Sicherungsmöglichkeiten hätte ich? (Die Kundendaten sind mir immerhin sehr wichtig und auch heilig, wenn da was nach Außen dringt, verliere ich vielleicht einen Kunden.)
Ich wäre sehr froh, hier vielleicht von einigen erfahrenen PHP Programmierern etwas zu erfahren. Ich kenn mich zwar mit PHP / MySQL aus, aber das ist halt alles hobbymäßig und ich würde es auch nie verkaufen, was ich mache. Sicherheitslücken gibt es immer, es gilt halt diese zu minimieren.
ich möchte eine Verwaltungsseite für Kunden erstellen und mich vorher hier mal der Sicherheit wegen umhören.
Die Seite werde ich definitiv in einem Unterordner deponieren und via htaccess Datei serverseitig schützen. Auch Robots etc. werden ausgeschlossen in dieser Datei.
Nun aber die große Frage. Da ich das System als einzige Person benutzen werde, stellt sich mir die Frage, ob ein Login-System dann neben der htaccess Sicherung noch Sinn macht? Oder wäre ein Session Login sicherer als ein htaccess Schutz?
Sollte ich bei den Datenbankabfrage trotz dessen alle Eingaben an die Datenbank auf logisches überprüfen (Zahlenwerte nur Zahlen, Stichwort SQL Injektion -> mysql_escape_string) bevor ich diese einspeise? Weiterhin habe ich gelesen, dass man dem Script nur bestimmte Rechte beim Zugriff auf die Datenbank erlauben soll mittels Benutzerrechten. Ich kann mir gerade nicht ganz vorstellen, wie ich das machen kann? (Normal erstelle ich die Datenbank über das Verwaltungssystem meines Providers und bekomme Datenbank und Nutzer genannt, wo kann ich da noch Rechte einräumen?)
Dann habe ich weiterhin gelesen, dass man lieber PHP Code in eine HTML Datei implementieren soll, damit ein externer Besucher die Scriptsprache nicht gleich erkennen kann. Kann das jemand bestätigen, dass das sinnvoll ist?
Welche weiteren Sicherungsmöglichkeiten hätte ich? (Die Kundendaten sind mir immerhin sehr wichtig und auch heilig, wenn da was nach Außen dringt, verliere ich vielleicht einen Kunden.)
Ich wäre sehr froh, hier vielleicht von einigen erfahrenen PHP Programmierern etwas zu erfahren. Ich kenn mich zwar mit PHP / MySQL aus, aber das ist halt alles hobbymäßig und ich würde es auch nie verkaufen, was ich mache. Sicherheitslücken gibt es immer, es gilt halt diese zu minimieren.