タイトルの件で質問させていただきます。 できるだけ堅牢なWEBログインシステムを作成したいのですが、 セキュリティ対策についてお教え願えますでしょうか? ネット各所で調べるとSQLインジェクションやCSRF、XSSなど いろいろ対策が必要なようですが、 大まかな流れとしては SSLでアクセス ↓ ブラウザからID・パスワードを入力 ↓ PHPにてデータベース(MySQL)と照合 ↓ ログイン ↓ ページ遷移はPHPのセッションをsecure属性をつけて行う という感じを想定しています。 ざっくりとしていますが、 この流れでセキュリティはどの程度保たれるものなのでしょうか? 後々はクレジットカード等も扱いたいと思っています。 いわゆるYahooオークションのようなログインシステムの場合 どのような流れになっているのでしょうか? また、ほかにも対策しなければいけない事など 教えていただけると助かります。 非常に抽象的な質問になりましたが よろしくお願いいたします。
↧