Безопасность и мысли о моем первом приложении PHP?

Question

Привет, я работаю над моим первым php-сайтом, и надеялся услышать ваши мысли от вас, ребята.

1 - Я использую базу данных txt-файлов, потому что это простой набор скриптов. Я знаю, что это не рекомендуется, но я хотел поработать с этим, прежде чем попасть в mysql. Мысли об этом вообще? За и против? Уязвимые

2 - относится к предыдущему вопросу ... безопасность. Пока у меня есть некоторые базовые функции очистки ввода, такие как: trim, strip_tags, preg_replace, htmlentities. Звучит адекватно? Overkill? Мысли? Есть ли способы безопасно проверить безопасность скрипта перед его отправкой в ​​сети?

Я учусь здесь, поэтому любая информация очень ценится. Спасибо!

PS - нет регистрации для пользователей. Просто некоторые формы подачи и отображение этих отправленных записей.

Answer 1

(1) Работать с базой данных текстовых файлов очень сложно. У вас будет несколько запросов друг на друга, пытаясь одновременно редактировать ваш файл. Тебе лучше сразу войти в SQL.

(2) Обязательно используйте параметризованные запросы для предотвращения внедрения SQL и правильного кодирования строк перед их внедрением в HTML, URL-адреса или другие подобные места. Что касается тестирования, отключите или пропустите все проверки клиентов и попробуйте вставить длинные строки со странными символами в качестве входных данных в ваши формы.

Answer 2

Я настоятельно рекомендую книгу SAMS Teach Yourself PHP, MySQL и Apache - это отличное введение во все соответствующие навыки и поставляется со всем программным обеспечением на диске (кроме хакера ресурсов, необходимого для работы mysql ...). Конечно, если вы используете текстовый файл, он находится в вашей корневой папке и может быть найден трудолюбивым хакером?