建立强大的网络安全

当一家公司宣传“政府级”或“银行级”安全时，他们可能在谈论FIPS 140加密标准。通常情况下，密码学并不是保护现实世界系统的问题。
例如，这个USB Key非常容易受到攻击，但它使用了“FIPS 140”的卖点和AES256！128位数字已经足够大了，而AES128符合FIPS 140标准。拥有更多的位数只是一个“阳具测量比赛”。美国政府并不是安全的榜样，因为Twitter可以破解他们的加密，而这并不是由于密码的密钥大小。

预编译语句是一个不错的起点。比起担心转义字符串，这是一个很大的改进，但也并非100％可靠。

http://php.net/manual/en/pdo.prepared-statements.php

此外，尽管这些声明可能是事实，但它们有点愚蠢 - 针对那些不了解网站安全性的人。以下是其他与“银行级加密”无关的安全形式的几个示例：

• 严格执行强密码策略
• 保持服务器软件更新
• 首先正确设置您的服务器
• 清理用户提交的内容以防止所有XSS攻击

还有很多可以添加到该列表中的内容。我仍然有很多关于安全方面需要学习，但我希望这能为您提供一个良好的开端。

安全认证的基本规则：有三种要检查的东西 - 你知道的东西、你拥有的东西和你是谁。你应该至少使用其中两个。（银行通常使用密码和智能卡或手机。）

至于“银行级安全加密”，我猜这是市场用语，意思是他们正在使用SSL，因为客户端-服务器连接是唯一需要加密的地方。（你应该对密码进行哈希和盐处理，但那不完全是加密。）

许多公司相信（或试图说服他们的客户）他们很安全，因为他们使用强大的加密技术。如果攻击者想要侵入他们的站点，最后一件事就是试图破解加密。他们将寻找低悬果实，例如SQL注入、缓冲区溢出和CSRF。大多数漏洞不是由于加密薄弱，而是因为基本的安全原则永远不要相信用户输入没有被遵循。别误解我，加密技术是一个必不可少的组件，但使用它并不意味着您是安全的。
一个好的起点是查看许多保护网站的资源。这里有几个：

• Web应用程序攻击和防御
• Web安全：你是问题的一部分吗？
• OWASP

银行级别的安全加密
[sic] 如果我在网站上看到这个，我会退避三舍！
但说真的......获取SSL证书很容易，而用于客户数据的银行所使用的证书与其他地方没有什么不同（除了通常被保险公司保障的金额更大）。
然而，在欧洲和北美地区，金融机构对数据管理和加密有非常具体的约束条件（例如BS7799），这些条件不仅定义了技术标准，还包括操作实践。因此，声称你的SSL与银行一样安全是一个非常片面的事实，真正只是一种营销手段。
但是要回答你的问题......似乎可以归结为“如何使我的网站安全？”，仅仅拥有证书和使用mysql_real_escape_string()远远不能满足安全性。一个适当的答案需要写几本书。您可以开始阅读Steffan Esser和Chris Shifflet在互联网上发表的内容。
C.