Для повышения безопасности работы PHP необходимо сконфигурировать PHP с опцией register_globals = off. Это делается посредствам файла. htaccess командой:
php_valueregister_globals 0.
Отключив, таким образом, возможность внедрения отправленных пользователем переменных в PHP-код, можно уменьшить количество заражённых переменных, которые потенциальный взломщик может попытаться направить. Для подделки отправляемой информации понадобится дополнительное время, а внутренние переменные будут эффективно изолированы от отправляемых пользователем данных.
Никогда нельзя доверять данным, пришедшим из внешних источников. Неважно, пришли ли эти данные из формы, из локально расположенного файла или из переменной окружения. Все пользовательские данные должны быть проверены и отформатированы, так, чтобы мы могли быть уверены в их безвредности. По средствам кода это обеспечивается за счет инициализации переменных, проверки на значение.
Данные о логине и пароле на сервер баз данных хранятся в захэшированном виде. Для этого перед записью данных в таблицу базы данных логин интерпретируется хэш строкой по алгоритму хэшированияmd5 (128-битный алгоритм хеширования). Пароль хэшируется по алгоритму SecureHashAlgorithm 1 (алгоритм криптографического хеширования 1), алгоритм генерирует 160-битное хеш-значение, называемое также дайджестом сообщения.
Хэширование по алгоритму md5 обеспечивает php функция md5(), а для алгоритма криптографического хеширования функция sha1().
Даже если злоумышленник получит данные о логине и пароле, восстановить пароли доступа из данных хэш строк невозможно, и использовать перехваченные данные во вредоносных целях не получится.
Сервис открыт только для пользователей зарегистрированных организация, что позволяет ограничить круг пользователей до минимума. Зарегистрироваться может только знающий кодовое слово пользователь.
