MySQL/PHP Echtgeldsystem - Verwaltung und Sicherheit
1) Sicherheit
In einem Projekt lege ich in einer Tabelle Geldtransaktionen ab. Diese sind verknüpft mit Userdaten.
Um die Sicherheit zusätzlich zu erhöhen überlege ich jedes Feld, auch das, welches die Geldbeträge aufzeichnet, mit ENCODE() zu Verschlüsseln.
Es gibt am Tag zwischen 10.000 - 100.000 Einträge.
Was haltet ihr davon?
Ist das übertrieben bzw. belastet es dem MySQL Server zu sehr?
Gibt es eine bessere Möglichkeit?
2) Verwaltung
Habt ihr besondere Techniken euren Web und MySQL Server auf verdächtige Aktivitäten und sonstige Einbruchsversuche zu überwachen?
Für MySQL benutze ich SHOW STATUS.
Für den Webserver bin ich mir nicht sicher. Reichen die vom Webhoster bereitgestellten Analyse Tools?Grüße
TrailFox
Beiträge: 6940 Wohnort: München Registriert: Jan 2002
Ist Dein Server und Deine DB auf unterschiedlichen Servern?
Falls nicht, wird DECODE denke ich nicht so viel bringen da so bald jemand Deinen Webserver gehackt hat, er ja auch Zugriff auf Deine SQL Statements hat und dort kann er das Passwort auslesen. Wie Performance kritisch das kodieren und dekodieren ist, kann ich dir nicht sagen.
Allerdings würde ich bei solchen Transaktionen vorwiegend darauf achten das sie sicher sind und mir erst in nächsten Schritt überlegen wie man diese dann performant gestaltet.
Welche Daten möchtest Du genau speichern? Kreditkarten etc. wirst Du denke ich nicht ohne weiteres speichern dürfen.
>> Habt ihr besondere Techniken euren Web und MySQL Server auf verdächtige Aktivitäten und sonstige Einbruchsversuche zu überwachen?
Hast Du einen root Server den Du selbst sichern möchtest? Ich kann Dir davon eigentlich nur abraten wenn Du kein Server-Admin Experte bist. Da gibt es einfach zu viel zu beachten.Flex Freelancer || Flashhilfe @ Twitter || XING Profil
Danke Sebastian.
Ne also das mit dem root server weiß ich . dank dem buch "linux - server mit debian"(kann ich nur empfehlen), kann ich recht gut einschätzen, dass ich lieber ein hostet angebot nehme und dafür bis zu 50 euro im monat zahle, als das alles selber zu machen.
momentan verwende ich ein managed hosting angebot und nutze parallel einen mediaserver, der woanders liegt.(bei dem sind alle dämons deinstalliert, da traue ich mir die verwaltung zu. dort liegen auch keine wichtigen daten).
php sicherheit ist denke ich auch soweit in ordnung. bin grad dabei mich mit wosap auf dem laufenden zu halten.
ne die zeiten, wo man sich einen virtuellen server mietet und denkt man kann da alles handeln sind vorbei. da muss jeder mal durch ;D.
worum es mir geht ist:
ich weiß, dass es viele leute gibt, die mit einem bestimmtem aufwand, immer an "meine" daten kommen.
momentan denke ich, dass es wohl am klügsten ist, die daten jeden tag selber manuell zu sichern und auf intigrität zu prüfen. im notfall das update des letzten tages einspielen.
ich denke, das ist das einzige worauf ich mich im zweifel verlassen kann. siehst du das auch so?
oder sonst jemand, der damit schon erfahrung gemacht hat?!
um das monitoring meiner seite kann ich bei einem webhosting angebot nur mittels den log dateien kümmern. vielleicht noch ein bisschen ein webanalyse programm. mysql status jeden tag checken.
ich mein, das einzige, was ich erkennen muss, ist das jemand meine formulare bruteforced.
xss und die ganzen geschichten lasse ich nicht zu, weil ich kaum benutzereingaben verarbeite.Grüße
TrailFox
Beiträge: 6940 Wohnort: München Registriert: Jan 2002
Zum Thema kann ich Dir leider auch nicht mehr sagen da ich damit noch nichts zu tun hatte. Evtl. gibt es zum Thema ein Buch das sich ausschließlich damit beschäftigt? Oder jemand anderes hat Erfahrungen damit gemacht die er mit uns teilen möchte?
Forum-Auswahl
