保护您的代码：

• 防止 SQL 注入：使用ORM和参数化查询
• 防止潜在的黑客/员工看到密码：存储密码哈希+盐而不是清除密码。
• 防止引入安全漏洞：不要重新发明轮子。尽可能使用库和框架。
• 使用漏洞扫描器评估您的应用程序。

保护您的服务器：

• 保持系统更新
• 监控您的服务器
• 通过 SSH 使用无密码登录
• 实施备份策略
• 实施站点范围的 SSL。如果这不是一个选项，请为登录页面实施它以防止密码被拦截（不会防止 cookie 嗅探，但至少密码是安全的）。
• 监控日志/使用 IDS。

投资于安全开发培训，因为这将针对任何问题的根本原因。我不相信，考虑到关于你的创业公司的大量信息，你会得到以前不知道的有价值的帮助。

这取决于您拥有什么样的托管服务。

• 专用服务器或虚拟主机

  • 使您的系统保持最新。
  • 使用安全协议。
  • 实施网络防御。防火墙/IDS。
  • 强制执行强密码。
  • 加密 Cookie
  • 审核日志
  • 使用威胁模型来防止攻击。
  • 在数据库中保存会话 ID
  • 采用网站开发最佳实践

• 共享主机

  • 强制使用强密码
  • 加密 cookie 数据。
  • 在数据库中保存会话 ID
  • 采用网站开发最佳实践
  • 和祈祷。