HTTPS 및 보안

Question

사용자가 내 웹 사이트에 로그인하면 데이터가 별도의 페이지 (예 : login.php 페이지에 로그인)로 전달되지만 login.inc에서 데이터를 검색/저장/확인 등합니다. .php. 따라서 사용자는이 페이지를 본 적이 없으며 나중에 프로필 페이지로 직접 전송됩니다.

1. login.php가 HTTPS 또는 login.inc.php 페이지를 사용해야합니까? 그렇다면 왜 그렇지 않은가?
2. 모든 데이터는 양식에서 POST를 통해 전송됩니다. 나는 $mysqli->real_escape_string을 사용하고 준비된 문을 사용하고 hash_hmac을 사용하여 암호를 해시합니다. HTTPS를 사용하는 경우 이러한 단계가 필요합니까?
3. 그렇지 않은 경우 어떤 다른 보안 기능을 구현해야합니까?

Answer 1

1. 에만 클라이언트와 상호 작용하는 페이지에 대한 HTTPS를 사용해야합니다 (예 : login.php) login.inc.php가 서버에 의해 페이지에 포함됩니다 때문이다.
2. 이 단계는 HTTPS 사용과 관련이 없으며 내부 스크립트 보안 (즉, SQL 삽입 방지 등) 용입니다.
3. 서버 - 클라이언트 상호 작용에 HTTPS를 사용하는 한 (해당 페이지의 자바 스크립트 및 이미지와 같은 모든 외부 파일도 SSL을 통해로드 됨) 연결의 보안에 대해 걱정할 필요가 없습니다.