嘿,我正在使用 PHP 进行大量编程,并且正在为我的网站构建一个管理系统,管理系统的安全性尽可能高非常重要,所以我想添加 SSL。
我在网上了解到,获得证书并对服务器进行一些配置后,只需添加 https:// 即可保护此页面的安全。
是真的吗?我知道我需要重定向,但不是 mysite.com,而是 www.mysite.com 之类的,但就这些吗?
我需要在服务器上进行哪些配置?谢谢。
答案1
SSL 确实提供了更高的安全级别。但请记住,如今安全这个词的含义非常广泛,可以涵盖很多东西。
传输以下类型的数据时应使用 SSL:
身份验证数据(例如密码、会话 cookie)
数据管理员已归类为非公开的数据
需要保护的数据在传输到服务器或从服务器传出时不会被修改(例如,用户输入或来自服务器的结果集)
重要的是要记住,虽然 SSL 可以保护服务器和 Web 浏览器之间的信息流,但使用 SSL 并不能提供任何额外的系统级安全性。
设置证书后,您将看到 HTTPS,检查证书是否正确且有效,然后您就可以开始了。
它不会保护你免受各种其他因素的影响,包括糟糕的编程和缺乏数据验证。你应该看看 PHP 安全性的最佳实践,例如http://phpsec.org/projects/guide/或者http://php.robm.me.uk/
您还可以通过仔细配置 IIS 或 Apache 的各种模块来提高安全性。确保应用最新更新并遵循最佳实践。
答案2
是的,您掌握了基础知识。您需要生成自签名证书,或者购买证书。完成后,您需要配置 Web 服务器(不是 PHP)以提供 SSL 加密。
强制实施 SSL 是另一回事。某些应用程序有强制实施 SSL 的开关(如 https URL)。如果您的应用程序无法做到这一点,那么您需要在 Web 服务器上进行一些重写,以确保每个请求都通过安全通道。