Erstellen einer Webseite mit Benutzer-accounts, was muss ich beachten?
Ich bin versucht zu schreiben, eine website, die die Benutzer-Konten. Es gibt nicht viel, sensible Daten außer dem Passwort und E-Mail-Adresse. Aber ich weiß nicht wirklich verstehen, was ich mache; ich bin eine Art von hacking Sie an, als ich gehe. Gibt es irgendetwas, was ich werden sollte, halten im Verstand in Bezug auf Sicherheit oder andere wichtige details?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sollten Sie:
Empfohlene Lektüre:
PHP Security Guide
Sarfraz Ahmed brachte einige gute Ressourcen für das Lesen. Sie können auch eine PHP-Klasse für die Authentifizierung von Benutzern, gibt es viele. Ich meine selbst haben ein Projekt namens userFlex auf sourceForge http://uflex.sourceforge.net
userFlex hat eine anständige Dokumentation, und es tut mehr als nur die login-Benutzer; es beginnt die Anmeldung und Feld-Validierungen, Passwort resets, Bestätigung codes für Registrierungen, Griffe, sessions und mehr wie autologin.
Wieder im gerade aufstellen userFlex als ein Beispiel, könnten Sie auch einen Blick in http://www.phpclasses.org/browse/file/5269.html oder viele andere gute Klassen in PHPclasses.org.
Verwenden JanRain Engage (ehemals rpxnow.com) für die Authentifizierung. Ihre Lösung können Sie Ihre bestehenden Anmeldeinformationen von Google, Yahoo, Microsoft, Facebook und andere log in Ihre Website. Viele dieser Anbieter geben eine gültige OpenID und oft eine gültige E-Mail-Adresse als Teil der Authentifizierung.
Wenn Sie JanRain, die Sie dann nur noch zum speichern der E-Mail-Adresse oder OpenID für einen Benutzer, und Sie nicht haben, um zu speichern Passwörter oder Passwort-hashes. Darüber hinaus Sie don ' T haben, um die Passwort-reset-Funktionalität, oder "ich habe mein Kennwort vergessen". Auch Ihre Benutzer-Registrierung Funktionalität viel kleiner sein kann, weil Sie es mit einer gültigen E-Mail-Adresse oder OpenID zur Verfügung gestellt durch seinen Besitzer.
Die Kommunikation zwischen Ihrer Anwendung und JanRain ist authentifiziert und verschlüsselt, es wird also alles nice & sicher.
MÜSSEN Sie verwenden die php-Funktion MD5 für die Passwörter. Einfache Weise zu sichern. Auch stellen Sie sicher, Sie verwenden die Funktion strip_tags in php so, dass jemand kippe ausführen von Befehlen in der Eingabe-Boxen. Da gibt es nicht sensetive Daten, die ich glaube nicht, dass Sie brauchen, um zu verschlüsseln nichts. Nur stellen Sie sicher, dass das login-system ist perfekt, und der Benutzer hat keine andere Möglichkeit, den Zugriff auf Daten, ohne sich anzumelden..
Shud Wünsche, genügt für ein einfaches login-script..