会員制サイトを作成しました。セキュリティ問題

ログイン画面にパスワード、ID入力認証（GET送信）
画面推移はセッション
SQLインジェクション対策としてデータ挿入はmysql_real_escape_string(）で囲む

こんな感じなんですが、その他気をつける点はありますでしょうか？？正直、キリがない分野だと思うので、最低限のセキュリティテクニックを教えて頂きたいです。（あくまでもプロが考える最低限でお願いします。）

No.4 ベストアンサー 回答者： CyberCypher 回答日時： 2012/06/29 13:22

セキュリティなんてGET送信では全く無いです

URLにログイン情報が残ってる時点でログインしたPCもしくは経由したサーバーから情報丸見えです
せめてPOSTを使って下さい

最低限この二点は必要でしょう？
・値はユーザーが閲覧できる場所には置かないようにする
・ログイン情報は暗号化してやりとりする

おっしゃっている通りキリが無いのですが自分だったら以下の通り
・キーボード以外からの情報入力も出来るようにスクリーンキーボードを配置します
・SSL暗号化通信を使用します
・値はユーザーが閲覧できる場所には置かないようにします
・ワンタイムパスワードを設定できるようにします
・ホスト名などの機器情報を取得しておきデータベース化
　別場所からログインしようとした際に警告メッセージとログ出力と本人へ通知
・取得した情報はポインタで確保し認証終了後ログイン情報はリリースしてしまう

No.3 回答者： reggaepunc 回答日時： 2012/06/29 02:08

GET送信でパスワード送ってるなら、

まずはPOSTに変えるべきだとは、思う。

No.2 回答者： yambejp 回答日時： 2012/06/28 18:44

＞最低限のセキュリティテクニック

ログイン画面ではhttpsが必須
それが無理なら、basic認証でもおなじレベル

No.1 回答者： gagapadakiero 回答日時： 2012/06/28 18:35

今時、SQLインジェクション対策でエスケープ処理なんてしない。

それよりあの方法の方が効率的で簡単ww
ocutuple(drmada)みたいな教えて君にはやり方分からないだろう。

早く知恵袋で迷惑をかけた人たちに土下座して謝罪しなさい。