Estoy realizando un proyecto menor sobre seguridad de la información en el que estoy implementando las técnicas que se enumeran a continuación para proteger una base de datos de SALUD
- Prevención de la inyección SQL (usando declaraciones preparadas, validando, usando un algoritmo de tokenización)
- Evitar ataques CSRF (insertar un token oculto en el formulario)
- Evitar ataques de fuerza bruta (bloqueo de cuenta después de 5 intentos fallidos)
- Prevención de XSS
- Validando cada entrada
- Iniciación de sesión solo en cookies
- Implementando una base de datos negativa. ( enlace )
- Cifrado de información confidencial
- privilegio limitado para cada usuario
EDIT También estoy implementando estos puntos que no publico anteriormente porque pensé que son menos importantes. pero las respuestas aquí muestran claramente la importancia de estos puntos:
- Registro de auditoría
- contraseña segura
- Conexión segura mediante session_set_cookie_params
- Control de acceso
Así que ahora mi pregunta es: ¿queda algo que pueda olvidar? conozco algunos como seguridad en la capa de red, etc. Estoy ejecutando mi proyecto en localhost, así que creo que no puedo hacer cualquier cosa en la capa de red.