hi all,
jemand befragte mich zur Erstellung einer Web-Anwendung, die Rechtsfälle mit kritischen Daten verwalten soll :
sie sollte 'unhackable' sein, aber wenn jemand versucht zu 'hacken',
sollten keine verständlichen Infos zu Namen,Orten oder reellen
Rechtsfällen erkannt bzw. hergeleitet werden können.
ich bin unerfahren mit serversided apps (anyways : ich liebe java se, aber komme nicht vorwärts mit javafx, tomcat und dergleichen)
ich nehme mal an,folgende Dinge könnten zum ziel führen
(to do with html,php,js,ajax,css and mysql) :
- login immer erforderlich, um was brauchbares in der anwendung zu sehen
- Inhalte(texte) in der Datenbank : soweit wie sinnvoll verschlüsseln
- sql-intrusion in form fields(z.B. login usw) verhindern
- sql-codes wie INSERT,UPDATE,DELETE nur als StoredProcedures
- SELECT ist der einzige sql-code , der in in php-code auftauchen darf
(besser doch als Stored Procedure ?)
- table- and fieldnames sind nur zahlen, keine normal interpretierbaren Zeichen
- https generell
-> ich gehe davon aus, daß dann alle datastreams zwischen server und client keine menschlich verständlichen Infos enthalten
ist das so sinnvoll ?
ist das genug getan ?
jemand befragte mich zur Erstellung einer Web-Anwendung, die Rechtsfälle mit kritischen Daten verwalten soll :
sie sollte 'unhackable' sein, aber wenn jemand versucht zu 'hacken',
sollten keine verständlichen Infos zu Namen,Orten oder reellen
Rechtsfällen erkannt bzw. hergeleitet werden können.
ich bin unerfahren mit serversided apps (anyways : ich liebe java se, aber komme nicht vorwärts mit javafx, tomcat und dergleichen)
ich nehme mal an,folgende Dinge könnten zum ziel führen
(to do with html,php,js,ajax,css and mysql) :
- login immer erforderlich, um was brauchbares in der anwendung zu sehen
- Inhalte(texte) in der Datenbank : soweit wie sinnvoll verschlüsseln
- sql-intrusion in form fields(z.B. login usw) verhindern
- sql-codes wie INSERT,UPDATE,DELETE nur als StoredProcedures
- SELECT ist der einzige sql-code , der in in php-code auftauchen darf
(besser doch als Stored Procedure ?)
- table- and fieldnames sind nur zahlen, keine normal interpretierbaren Zeichen
- https generell
-> ich gehe davon aus, daß dann alle datastreams zwischen server und client keine menschlich verständlichen Infos enthalten
ist das so sinnvoll ?
ist das genug getan ?
Kommentar