个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我总是通过检查用户在表单中提供的密码的 MD5 + salt 是否与存储在数据库中的相同来制作我的身份验证代码,如果是,我保存了一个名为“status”,等于 1。 他被登录了。
我很确定这是错误且不安全的,但我从未见过任何其他方法。你们能帮帮我吗? :)
最佳答案
网站安全没有简单的解决办法,所以很抱歉回答太长:
登录后如何识别用户?如果它在 URL 中带有 session ID,则可以读取它并劫持 session 。如果它使用标准 cookie,则可以再次读取 cookie 并劫持 session 。这与密码上使用的哈希函数类型无关。
为了安全起见,请使用 SSL(或类似的加密)并使用安全标志设置 session cookie。
问题是您只能通过 SSL 验证用户的身份。为避免必须通过 SSL 提供网站的所有页面,必须使用两个 session cookie,一个是安全的,在安全身份验证(登录)期间启动,另一个标准是在用户首次点击非 SSL 页面时启动。必须通过 SSL 提供任何私有(private)或 protected 数据,并在每次点击时检查安全 cookie。
当然session数据应该存放在数据库中,而不是cookie中。 cookie 中只能使用 session ID 或类似的唯一字符串。
这样任何试图劫持事件 session 的人都只能到达非 ssl 页面。
IP 地址可以被欺骗,与用户代理一样,所以这些不应该用作用户识别的一部分。此外,用户的 IP 地址可能会在 session 期间发生变化(例如,在负载平衡器、匿名器或某些 ISP 之后),从而导致注销。
还要注意廉价的 SSL 证书。它们并不都是安全的。
不幸的是,PHP 的 native session 处理并不安全,因此良好的应用程序设计至关重要。
当涉及到用户密码时,强制使用包含大写、小写数字和符号字符的长密码(最少 8 个字符)。
还可以通过在一定次数的登录尝试失败后阻止用户一段时间来防止暴力攻击。
如果您提供通过电子邮件重置密码的工具,请确保您的用户知道要保护他们的电子邮件帐户。
事实上,没有什么是 100% 安全的,但我们可以非常接近,这些是实现这一目标所必需的主要步骤。
当然,安全性是相对的,您保护用户数据的时间长短取决于数据是什么以及您的网站可能成为多少目标。如果您要存储信用卡详细信息并且它是一个受欢迎的网站,那么安全性是最重要的。
如果您存储信用卡详细信息,那么您还需要达到相关的 PCI 合规级别。
关于PHP 高级和安全身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4037618/
25
4
0
我在 JavaScript 文件中运行 PHP,例如...... var = '';). 我需要使用 JavaScript 来扫描字符串中的 PHP 定界符(打开和关闭 PHP 的 )。 我已经知道使
我希望能够做这样的事情: php --determine-oldest-supported-php-version test.php 并得到这个输出: 7.2 也就是说,php 二进制检查 test.
我正在开发一个目前不使用任何框架的大型 php 站点。我的大问题是,随着时间的推移慢慢尝试将框架融入应用程序是否可取,例如在创建的新部件和更新的旧部件中? 比如所有的页面都是直接通过url服务的,有几
下面是我的源代码,我想在同一页面顶部的另一个 php 脚本中使用位于底部 php 脚本的变量 $r1。我需要一个简单的解决方案来解决这个问题。我想在代码中存在的更新查询中使用该变量。 $name)
我正在制作一个网站,根据不同的情况进行大量 PHP 重定向。就像这样...... header("Location: somesite.com/redirectedpage.php"); 为了安全起见
我有一个旧网站,我的 php 标签从 因为短标签已经显示出安全问题,并且在未来的版本中将不被支持。 关于php - 如何避免在 php 文件中写入
我有一个用 PHP 编写的配置文件,如下所示, 所以我想用PHP开发一个接口(interface),它可以编辑文件值,如$WEBPATH , $ACCOUNTPATH和 const值(value)观
我试图制作一个登录页面来学习基本的PHP,首先我希望我的独立PHP文件存储HTML文件的输入(带有表单),但是当我按下按钮时(触发POST到PHP脚本) )我一直收到令人不愉快的错误。 我已经搜索了S
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
这个问题已经有答案了: 已关闭11 年前。 Possible Duplicate: What is the max key size for an array in PHP? 正如标题所说,我想知道
我正在寻找一种让 PHP 以一种形式打印任意数组的方法,我可以将该数组作为赋值包含在我的(测试)代码中。 print_r 产生例如: Array ( [0] => qsr-part:1285 [1]
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
我在 MySQL 数据库中有一个表,其中存储餐厅在每个工作日和时段提供的菜单。 表结构如下: i_type i_name i_cost i_day i_start i_
我有两页。 test1.php 和 test2.php。 我想做的就是在 test1.php 上点击提交,并将 test2.php 显示在 div 中。这实际上工作正常,但我需要向 test2.php
我得到了这个代码。我想通过textarea更新mysql。我在textarea中回显我的MySQL,但我不知道如何更新它,我应该把所有东西都放进去吗,因为_GET模式没有给我任何东西,我也尝试_GET
首先,我是 php 的新手,所以我仍在努力学习。我在 Wordpress 上创建了一个表单,我想将值插入一个表(data_test 表,我已经管理了),然后从 data_test 表中获取所有列(id
我有以下函数可以清理用户或网址的输入: function SanitizeString($var) { $var=stripslashes($var); $va
我有一个 html 页面,它使用 php 文件查询数据库,然后让用户登录,否则拒绝访问。我遇到的问题是它只是重定向到 php 文件的 url,并且从不对发生的事情提供反馈。这是我第一次使用 html、
我有一个页面充满了指向 pdf 的链接,我想跟踪哪些链接被单击。我以为我可以做如下的事情,但遇到了问题: query($sql); if($result){
我正在使用 从外部文本文件加载 HTML/PHP 代码 $f = fopen($filename, "r"); while ($line = fgets($f, 4096)) { print $l
我是一名优秀的程序员,十分优秀!