Ciao a tutti, mi scuso se ho sbagliato la sezione, ma non sapevo quale fosse quella più idonea..

So che è impossibile proteggere al 100% un sito scritto in puro php, ma continuo a informarmi per prevenire i possibili attacchi. Sono arrivato a questa conclusione e avrei bisogno di conferme:

- Prevenire XSS: ogni campo di input dovrebbe avere dei filtri php che eliminino tag, caratteri speciali, simboli e spazi inutili;

- Prevenire MySQL injection: scrivere le query con "prepare";

- Prevenire attacchi CSRF: implementare i campi di login con dei token;

In più:

- aggiungere il CAPTCHA ai login e ai campi di ricerca;

- criptare le password degli utenti registrati nel database, in SHA512.

Sono sufficienti queste prevenzioni? A parte i settaggi del server (firewall, password complessa, disabilitazione di allow_url_fopen, ecc) cosa posso fare di più?

Grazie