Eğer Amerika Birleşik Devletleri'nde tıbbi veri depolama iseniz belirli tabidir, sıkı security requirements. Diğer ülkeler de benzer hükümler var olabilir.

Bir uzman olmadan, ben ciddiye size tarif kurulum ile bir güvenlik denetimi geçmek olacağını sanmıyorum. Bir root parolası olan, başlamak için her yerde düz metin olarak kötü bir uygulamadır. Şifrelenmemiş biçimde herhangi bir hassas veri (örneğin tıbbi kayıtlar) saklanması veri kendilerine yardımcı olmak için web sitenize nüfuz herhangi bir hacker davet ediyor. Ben HIPAA tanımlayıcı bilgiler tüm tıbbi bilgileri ve hasta güvenliğini sağlamak için özel gereksinimleri vardır sanıyorum.

Bu ciddi bir sorumluluk şirket açmak ciddi bir konudur.

Sunucu sunucu olarak en zayıf noktası olarak güvenlidir.

Birisi bu dosyayı okumak mümkün olur bir hesap için zayıf bir parola uzlaşma ise - o zaman evet, şimdi onlar root şifrenizi var. Eğer kodda bir hata yapmak (ya da böyle bir hata / "özelliği" ile başkasının kodu / programı kullanmak) edersek, o da bunu bozabilir - ve evet, hem durumlar VAR ve olur DO.

Yani temel bir önlem olarak, bu uygulama için özel bir hesap, o uygulama erişimi vardır ne sınırlıdır. Bu tehlikeye olsun yoksa, o kadar yararlı değildir.

Kesinlikle root parola seçebilirsiniz kötü şeydir. Bir güvenlik denetim, bu başarısız bir anlık garantili.

Of bağlamda

Yes, it is possible for your php source to be "leaked" (delivered as the text that it is, instead of executing) if your web server somehow gets misconfigured.

A good precaution against that is to put all PHP files (except the bootstrap/index file) outside the public_html/htdocs/www or what ever directory.
You can use something like ZendGuard.
You can simply decide to compile sensitive data as PHP extension (basically, only constants).

Sadece akılda tutmak,% 100 koruma diye bir şey yoktur.

Php kaynak "sızdırılmış" olmak için web sunucusu somehow yanlış yapılandırılmış alırsa Evet, (yerine yürütme o metin olarak teslim) mümkündür.

Nedeniyle teslim yerine yürütülecek php sayfaları neden bazı web sunucusu pisliği A kodu kaçak happened to facebook in 2007.

Sadece meraktan soruyorum, sen Google Health aşina?

Eğer ticari marka bilgileri korunur, o senin en iyi bahis saklamak herhangi bir şifre ile birlikte, onu şifrelemek için.

Bu kimse sizin sisteminize kırılsa bile onlar için alınamıyor sağlayacaktır.

Sen birinde şifrelenmiş simetrik anahtarı olan özel / kamusal keypair için özel anahtarında yapıştırabilirsiniz özel bir şifre-korumalı sayfaya sahip olan, iki şeyden birini yapabilirsiniz.

Bu doğru bir özel anahtara sahip olmadıkça simetrik anahtar almak mümkün olmayacaktır sağlayacaktır.

Özel anahtar bir usb belleğinizde saklanabilir, böylece özel web sayfasının içine yapıştırdıktan sonra kaldırabilirsiniz.

Simetrik anahtar bu formu yapıldıktan hemen sonra okuma olacağını ve bu nedenle uygulamada herhangi bir sayfa kullanabilirsiniz küresel bir değişkende saklamak.

Özel anahtar hemen sabit sürücüye dışında yazılmış şansı sınırlamak için kullanılan sonra tasfiye olacaktı.

Bu sistem tamamen kusursuz değil, ama bir güvenlik denetimi geçmek ve bir hacker tarafından başarılı bir saldırıya karşı korumak için bilgi gerekir.

Create mysql user for each application and give that user the least amount of privileges it needs to work correctly. Most apps on only need select, update and delete. http://en.wikipedia.org/wiki/Principle_of_least_privilege

Sizin mysql root bir süper kullanıcı olarak özel bir ayrıcalıkları vardır. Eğer maksimum bağlantı sınırını vurdu söylüyorlar. MySQL her zaman çok vb, oraya ve kutu yönetmek, bağlantıları öldürebilir süper kullanıcı için son bağlantıyı tutar

Eğer web uygulaması kök kullanırsanız, o zaman kendi veritabanı kilitli alabilir.