PHP tabanlı sitede kullanıcı verilerini nasıl koruruz?

Değerli üyeler,

Hazırlamayı düşündüğümüz bir web sitesinde çözüm aradığımız bir konu var.

Site basitçe şöyle işliyor: Kullanıcılar öncelikle siteye üye olur ardından da sitedeki ilgili bölüme “50 karakteri aşmayan bir metin ve kendi sabit disklerinden bir adet” fotoğraf yüklerler. Yüklenen bu veriler (metin ve fotoğraf) üye yükleyip onay verdikten sonra ne kendisi ne diğer üyeler ne de site ziyaretçileri tarafından görüntülenebilir. Yani bu verilere hiçkimse ulaşamaz. İşte biz, bu metin ve fotoğraflara tek bir admin tarafından tek bir merkezden ulaşılabilmesini ve hack gibi siber saldırılarda ele geçirilmelerini, “olabilecek en sağlam yöntemle” engellemek istiyoruz. Üyelerin yükledikleri bu verileri, saldırılara karşı nasıl koruyabilir ve bu verilerin ele geçirilmesini nasıl engelleyebiliriz? Sistem açısından bu veriler tüm kredi kartı bilgilerinden, şifrelerinden bile daha önemli.

Bunun için izleyebileceğimiz yollar, teknikler neler olmalı? Yardımlarınız bizim için yol gösterici olacaktır.

Not: Bu arada bu kadar gizemli anlattığım için aklınıza kötü bir şey gelmesin: site konsepti hiçbir şekilde pornografk, ****** ya da suç teşkil edebilecek başka bir öğe barındırmıyor.

madem bu kadar önemli, bir şifreleme metodu ile resim dosyalarınızın kaynağını encode etmek, ettikten sonra veritabanında ya da statik olarak saklamak aklıma gelen en etik yöntem.

gösterimi kod içinde decode etmek tabii ki resimlerin açılması için. Zaten bir kod içine çağırarak encode edeceğiniz için dinamik olacaktır.

Kodları ioncube ile encode edebilirsiniz.

Tabi burada şunlardan emin olmak gerekir.

Sunucuya : Sahibi ve izin verdiğiniz kişiler
veritabanına : üstteki kişiler ve izin verdiğiniz kişiler
ftpye : sunucu erişimi olanlar ve yazılımcı

bunlarda güvenilir olursa kırılması zor olur kullandığınız metodun.

Çok teşekkürler yardımınız için. Sanırım bu yöntemi deneyeceğiz.

md5 leyip kayıt edin kimse görmesin

basitçe söylemek gerekirse ne yapsan boş. en iyi sistemin en zayıf noktası kullanıcıdır. web sitenin komple hacklenmesi büyük projelerde çok nadir görülür.

sunucunun hacklenmesi halinde verileri korumak için tüm verileri encode edebilirsin.
web site scriptinin hacklenmemesi için xss, sql injection gibi konulara önlem alabilirsin.
şifre çalınması gibi durumları engellemek için sms onaylı giriş koyabilirsin (ki çok maliyetli olmaz)

fakat adminin veya kullanıcının bilgisayarına girmiş bir keylogger'a önlem alamazsın.
buna önlem olarak admin yetkilerini bölmen gerekiyor. forumlardaki yetki sistemi buna güzel bir örnek. admin yetkilerini kullanıcılara, kategorilere bölmek riski azaltır. böylece toplu bir veri kaybını engellemiş olursun.

bunun dışında sistemin işleyişindeki insan ihtiyacını ne kadar azaltırsan sistem o kadar güvenli hale gelir. içerikleri denetlemeyecek botun kalitesi arttıkça adminlere olan ihtiyaç azalıcaktır.