Sám si si na to v poslednej vete odpovedal , uvedomujem si že je to užitočný skill , radšej investujem čas do rozvoja ako platiť , platiť a znovu platiť keď niečo chcem. Remeslo má zlate dno sa hovori , aj keď pre mna to bude iba nástroj aby som nebol závislý na druhých .
Už som spravil svoj prvý tokenizačný register a login , a odhlásenie .
ochránil som si vstupy cez htmlspecialchars (aj keď nepremiena všetky znaky)+spravil som ochranu proti CSRF + spravil som aby prípadný prepašovaný javascript nemohol zobrať session id (httponly) + spravil som posielanie dotazov do databázy cez viazanie premenných na place holder place blind value cez PDO (prepared statements) aby som oddelil dáta od kodu + nastavil som znakovu sadu cez mysqlsetchars proti čínštine v sql dotazoch . čo sa týka hashovania tak md5ka mi príde nedostačujúca lebo je rýchla na slovníkové útoky , preto som zvolil Bcrypt na cost 12 + plánujem dorobiť priami prístup k dátam na servery len cez pgp a 2fa aby mi nikto nemohol meniť kod priamo (napr ludia čo mi budú hostovať server) ..tolko k momentálnej bezpečnosti, každopádne ešte prepokladám že sú tam zranitelnosti , ak mi niekto spravíte free základný pen test tak budem rád . Dalej som spravil admin a user a moderator a support Role ktoré majú svoje oprávnenia a prístupy . zatial viem len minimum no mám dobrý pocit , zajtra pokračujem v tryharde . keď si zoberiem že som včera nič nevedel a teraz viem aspoň malú trošku tak si myslím že je to celkom posun . dúfam že to tak bude pokračovať dalej .
