09/10/2018, 23:22

Làm sao để bảo mật cho PHP App

Em định viết một PHP App nhưng gặp khó khăn trong vấn đề bảo mật, cụ thể là:
Việc sử dụng cookies và session để cấu hình cho user nhưng nếu dùng cái này thì độ bảo mật kô cao.
Vậy nếu mình lưu tất cả các session và cookies vào DB thì liệu có phải là giải pháp tốt kô vậy
Còn vấn đề nữa.
Nếu giả sử website của bạn đang có >200 người truy cập, và số lượng có thể vượt hơn. giả sử rằng trong cùng một thời điểm thì 200 người đó cùng gửi một request đến server và request đó chứa đựng 1000byte data. nếu dùng unset($_POST) hoặc unset($_GET) thì liệu bộ nhớ có được giảm tải hay không
và nếu như 2000 request cùng gửi và mỗi request có data là 1000byte hoặc hơn, nếu em dùng biện phát trên liệu có giải phóng ngay tất thì bộ nhớ chương trình mà 2000*1000byte lưu trong RAM của Máy chủ, như thế server có hoạt động bình thường được kô

Mong anh em chỉ giúp

mr47 viết 01:25 ngày 10/10/2018

Bạn nên lưu thông tin session trong một table heap, lưu Id session xuống bằng cookie! Nếu ứng dụng quá lớn thì tách riêng table đó ra một hoặc một cụm server riêng!

Với các request thì web server sẽ giải quyết. Còn có trên mỗi process, PHP chỉ quản lý 1 request và data của request đó PHP không quản lý, mà chỉ lấy từ web server. Nên việc bạn unset như thế chẳng có ý nghĩa gì cả.
Nếu request quá nhiều, web server sẽ xử lý không hết, quá tải thì die. Thế cho nên mới cần load balancing!

kid08 viết 01:29 ngày 10/10/2018

load balancing <<-- là cái gì thế anh

với cả em chưa hiểu lắm về việc lưu thông tin session ra table, thế mình hok dùng cái $_SESSION nữa à

mr47 viết 01:38 ngày 10/10/2018

Dùng session của PHP thì phải phụ thuộc vào evironment. Thứ 2 nữa là không tiện, không lưu trữ thông tin phức tạp được.
Lưu ý rằng dữ liệu lưu vào table session nên nhỏ và nên chọn storage engine là MEMORY nếu dùng MySQL!

Load balancing là việc phân đều tải cho các server.

kid08 viết 01:23 ngày 10/10/2018

nếu lưu vào table thì sao để check khi user tắt trình duyệt anh :|

mrsinguyenus viết 01:23 ngày 10/10/2018

đọc cái này xem hay lắm đó:
http://www.zend.com/zend/spotlight/c...lery-wade8.php

kid08 viết 01:22 ngày 10/10/2018

thks bác nhiều, bác cho em cái YM cái thi thoảng vào nói chiện chơi

, cái link rất hay

thienthan36 viết 01:36 ngày 10/10/2018

sao em thấy biến $_SESSION là một biến của PHP, đáng lí ra là biến này phải được php quản lí chứ.
Vậy nếu SESSION là của server vậy thì bằng cách nào mình có thể xóa những giá trị ko phù hợp ra khỏi bộ nhớ (MEMORY)!

thienthan36 viết 01:24 ngày 10/10/2018

Liệu giải pháp dùng die() và sử dụng bộ lọc request để hạn chế người dùng nếu lượng truy cập quá lơn.
Liệu có ổn không.

Bác nào đã có ý tưởng dùng bộ lọc với PHP thì cho biết ý kiến với nha !

mr47 viết 01:38 ngày 10/10/2018

$_SESSION chẳng dính dáng gì đến request từ client cả!

Nếu số lượng truy cập quá lớn thì đó là điều đáng mừng, nên scale hệ thống thay vì đuổi họ đi!