Wie kann ich speichern Sie vertrauliche Daten sicher in eine MySQL-Datenbank?

Mache ich eine Bewerbung für eine Firma, ich arbeite für. Ich habe es zum Schutz vor SQL-injection und einige XSS-Techniken. Mein Hauptproblem ist, halten Sie sensible Informationen geschützt, wie Sozialversicherungsnummer und Adresse, denn das Unternehmen braucht, um 1099 Formen für den Verkäufer Steuern.

Ich weiß nicht, wie zu tun, diesen Teil, aber sollte ich alles verschlüsseln und dann entschlüsseln, wenn er in die MySQL-Datenbank?

  • Wenn Sie möchten, es zu sichern, sollte es verschlüsselt in der MySQL-Datenbank, nicht nur während der Fahrt.
  • Wenn es entschlüsselt werden kann, indem Sie, Sie in der Regel können entschlüsselt werden, von jemandem, der Zugriff auf Ihre Datenbank. Vielleicht müssen Sie eine professionelle Vermietung?
  • Dies ist ein sehr umfassende Frage, Jacob. Können Sie uns etwas mehr? Wenn Sie eher daran interessiert sind, Ende-zu-Ende-Verschlüsselung (warum? um die Vertraulichkeit zu gewährleisten? So dass Ihre Benutzer Vertrauen, dass Sie die übermittlung der Daten an die richtige Person?), dann nehmen Sie die anderen bits. Was ist dein hintergrund in diesem Bereich? Wenn es wenig bis keine gibt, dann lass mich demütig vorschlagen, dass Sie einige offline-Lesen - jede Hilfe, die passen in SO ein Antwort nicht viel helfen. OWASP ist ein guter Ort, um zu starten.
  • SQL-injection und XSS-hs geachtet werden von der Anwendung .
  • Auch nur zu erwähnen. Verschlüsselte Informationen decryptable Informationen.
  • naja, ich wirklich wollen, um die Vertraulichkeit zu gewährleisten und machen es sicherer für unsere Mitarbeiter, ich habe html in der Vergangenheit viel und studiere es seit 15, und gerade vor kurzem wieder in Sie aggressiv, weil mein Freund brauchte das getan. Ich habe gerade angefangen zu lernen, PHP und MySQL viel mehr als ein Hobby Sicht, und gehe in die Schule, auch für diese
  • Für mehr Informationen, kommen und schauen Sie unter security.stackexchange.com - wir decken eine Menge von dieser Art der Sache 🙂

InformationsquelleAutor Jacob Cannon | 2013-02-25
  1. 11

    Dies ist eine zu vereinfachte Antwort und sollte mit einem Körnchen Salz, wie die meisten Antworten zur Sicherheit:

    • SSL verwenden überall.

    • Verwendung eines sicheren Verschlüsselungsschlüssels

    Für die Speicherung von verschlüsselten Daten, könntest du eine BLOB Feld, und verwenden Sie die MySQL -integrierte Verschlüsselungs-Funktionen. Beispiel:

    update mytable set myfield = AES_ENCRYPT('some value', SHA2('your secure secret key', 512));

    Wenn Sie es vorziehen, die Verschlüsselung/Entschlüsselung in den code der Anwendung, werfen Sie einen Blick auf die PHP Mcrypt Funktionen.

    • Verschlüsseln der user-input
    • Speichern in der Datenbank
    • Entschlüsseln es nach Holen es

    Dies ist keine vollständige Anleitung, aber es ist ein Anfang und besser als nichts zu tun.

    Können Sie in der Lage sein, um mehr darüber zu erfahren https://security.stackexchange.com/

    • also was Ihr sagt ist zu verschlüsseln und die verschlüsselten Daten in der Datenbank, dann, wenn wir es brauchen, um irgendwie zu entschlüsseln, es in einem sicheren, nicht öffentlichen, separaten Webseite?
    • Sie hätte erklärt, die Verschlüsselung besser, es ist wirklich wichtig und als Entwickler ist es unsere Aufgabe, sicherzustellen, dass wir tun Sicherheit gut. Check out this Antwort auf eine Frage, er hat eine wirklich gute Anleitung zur Verschlüsselung.
    • Es ist am besten nicht zu verwenden, mcrypt, es ist abandonware, wurde nicht aktualisiert, in den Jahren, und unterstützt nicht den standard PKCS#7 (geborene PKCS#5) - Polsterung, die nur nicht-standard-null-padding, der kann auch nicht verwendet werden mit binären Daten. mcrypt hatte viele herausragende bugs aus dem Jahr 2003. Betrachten Sie stattdessen mit entschärfen, es ist gepflegt und korrekt ist.
    • Sollten Sie nicht tatsächlich bewachen es mit Ihrem Leben-es ist nur Computer. 😉
    InformationsquelleAutor Wesley Murch
  2. 7

    SQL-Abfrage mit Schlüssel drin (Wesley Murch schlägt) ist keine gute Idee.
    Wenn Sie das tun:

    update mytable set myfield = AES_ENCRYPT('some value', 'your secure secret key');

    ... und die Abfrage wird protokolliert (slowlog für die inst.) Ihre sichere geheime Schlüssel ist gefangen im Klartext, das sollte nie passieren. Eine solche Abfrage mit dem geheimen Schlüssel wäre auch sichtbar, wenn Sie die Abfrage ausführen, wie SHOW PROCESSLIST.

    Nächste problem, wohin mit dem Schlüssel? In der PHP-Datei? Es ist wieder Klartext.

    Daten verschlüsseln:

    Private - /public-key-Verschlüsselung (http://en.wikipedia.org/wiki/Public-key_cryptography). PHP hat sehr gute Unterstützung für Sie.

    • Öffentlichen Schlüssel können gespeichert werden, die Benutzer in der DB, er ist öffentlich.
    • Der Private Schlüssel verschlüsselt mit Benutzer-Passwort. Wenn der Benutzer angemeldet ist, Sie den privaten Schlüssel entschlüsseln und speichern Sie es in seinen cookies (wenn Sie SSL verwenden, ist es nicht so schlimm) oder session. Beide sind nicht perfekt, aber besser als Klartext in der php-Datei.
    • Verwenden den öffentlichen Schlüssel zum verschlüsseln, der private Schlüssel zum entschlüsseln.
    • Nur Benutzer, den Zugang zu seinen Daten.

    Wenn Sie mehr erfahren möchten, können Sie google "user controlled encryption" oder "zero knowledge privacy".

    SQL INSERT /XSS:

    Den besten Schutz von sicheren Apps. Kein Zweifel. Wenn Sie möchten, um es zu sichern, können Sie für die inst PHP-IDS, um Angriffe zu erkennen:
    https://github.com/PHPIDS/PHPIDS

    Habe ich sehr gute Erfahrungen mit ihm.

    InformationsquelleAutor Martin Höger
  3. 1

    Als stillschweigend in die Kommentare, du stellst dir eine riesige Frage. Sie gehen zu müssen, um der Forschung eine Reihe von separaten Themen:

    • SQL-Injection-und wie es zu verhindern
    • XSS und wie es zu verhindern
    • Verschlüsselung eingegebene Formulardaten mit SSL
    • best practices für die Speicherung von sensiblen Informationen in einer Datenbank

    Wäre es schwer, alle von Ihnen in einer Antwort. Ich würde vorschlagen, das durchführen einer Suche auf dieser Website für die oben genannten Themen.

    InformationsquelleAutor JakeParis
Schreibe einen Kommentar