Rakendada minimaalõiguste printsiipi ja vaikimisi keelata juurdepääs; kontrollida volitusi iga funktsiooni väljakutsel.

Lubada vaikimisi juurdepääs kõigile autenditud kasutajatele.

Peita tundlikud URL-id, et tavakasutajad neid ei leiaks.

Kontrollida kasutaja volitusi ainult rakendusse sisenemisel.

Ebapiisav entroopia muudab genereeritud väärtused (nt võtmed, tokenid) ettearvatavaks, mis võimaldab ründajatel neid ära arvata või jõuga murda.

Suurem entroopia tagab kiirema krüpteerimis- ja dekrüpteerimisprotsessi.

Ainult suure entroopiaga võtmeid saab kasutada asümmeetrilises krüptograafias.

Entroopia mõõdab ainult genereeritud väärtuse pikkust bittides.

Kvaliteetsem kood töötab alati kiiremini, mis vähendab DoS rünnete mõju.

Hea koodi kvaliteet tähendab vähem kommentaare, mis peidavad vigu.

Koodi kvaliteet on oluline ainult suurte projektide puhul.

Struktureeritud, loetav ja testitud kood sisaldab vähem loogikavigu ja turvanõrkusi ning seda on lihtsam turvaliselt hooldada.

Krüpteerides logifailid kettal.

Logikirjutamine kogu rakendusserveris välja lülitada.

Piirates ligipääsu logifailidele ainult administraatoritele.

Kasutades logide roteerimist ja automaatset kustutamist.

Vältides tundliku info logimist või kasutajale kuvamist produktsioonikeskkonnas ning filtreerides/maskeerides andmeid vajadusel.

Väljundi korrektne kodeerimine vastavalt kontekstile (HTML, JavaScript, URL).

Sisendi valideerimine ja ohutustamine (nt HTML erimärkide asendamine).

SQL päringute parameetriseerimine.

Content Security Policy (CSP) päise kasutamine.

Nende keelte lähtekood on alati avatud ja seega paremini kontrollitav.

Need keeled takistavad SQL-süsteid automaatselt.

Need keeled aitavad automaatselt vältida levinud mäluhaldusvigu nagu puhvri ületäitumine (buffer overflow), piiridest väljas lugemine/kirjutamine ja järelekasutusvead (use-after-free).

Need keeled on alati kiiremad kui C või C++.

lisame paroolile kolmekordse soolamise

kaitsmisel ei loodeta ainult ühele funktsioonile

süsteem ehitatakse modulaarselt

ühe kaitsekihi rikke korral teises kihis olev kaitse aitab leevendada potensiaalset kahju

et sisendit tõlgendataks süsteemis käsuna

et sisendit tõlgendataks failiteena

et sisendit tõlgendataks käivitatava koodina

et sisendit tõlgendataks kasutaja brauseris css stiilina

et sisendit tõlgendataks süsteemis andmebaasi päringu osana

et sisendit tõlgendataks kasutaja brauseris javascript koodina

Risk: Andmebaas täitub liigse infoga. Vähendamine: Logimise piiramine.

Risk: Võimaldab erinevaid ründeid (XSS, SQLi, jne). Vähendamine: Rakendades ranget sisendi valideerimist (tüüp, formaat, pikkus, lubatud väärtused) enne selle kasutamist.

Risk: Rakendus muutub aeglaseks. Vähendamine: Koodi optimeerimine.

Risk: Kasutajaliides muutub segaseks. Vähendamine: Kasutajaliidese disaini parandamine.

Kõigi failide tihendamine enne salvestamist.

Kasutajaliideses failide nimede kuvamise piiramine.

Sisendina saadud failiteede valideerimine, normaliseerimine ja ohutustamine, tagamaks, et lõplik tee jääb lubatud kataloogi piiridesse; vältides kasutaja sisendi otsest kasutamist failitee osana

Failide salvestamine ainult andmebaasi, mitte failisüsteemi.

Failitee ning failinime kodeerimine URL-ohutult kui seda edastatakse üle HTTP-ühenduse.