Правила обеспечения безопасности веб-приложений

Джон Лим (John Lim), автор сайта PHP Everywhere приводит список действий, которые должны быть реализованы в бизнес-приложениях на PHP.
По словам Джона, мы стремимся к тому, чтобы использовать PHP в корпоративном секторе. Для этого, все РЅР°С?и приложения должны быть безопасными и надежными. Среди действий по обеспечению безопасности веб-приложения, Джон Лим выделяет такие как:

  • Приложение должно записывать уникальные ID участников каждой транзакции, а так же описывать данные, которые были при этом изменены и время внесения изменений;
  • Все пароли хранящиеся в СУБД должны быть Р·Р°С?ифрованы;
  • Пароли периодически должны меняться. Обычно, каждые 30-90 дней;
  • В coockie нельзя хранить важную информацию. Только ID и некоторые мелкие по значению данные;
  • В системе должны присутствовать отчеты типа "Аккаунты, бездействующие Х дней", "Неудачные попытки входа в систему", "Матрица доступа пользователей";
  • Р? еще много других правил.

Материал представлен на английском языке.