Erstellen einer Webseite mit Benutzer-accounts, was muss ich beachten?

Ich bin versucht zu schreiben, eine website, die die Benutzer-Konten. Es gibt nicht viel, sensible Daten außer dem Passwort und E-Mail-Adresse. Aber ich weiß nicht wirklich verstehen, was ich mache; ich bin eine Art von hacking Sie an, als ich gehe. Gibt es irgendetwas, was ich werden sollte, halten im Verstand in Bezug auf Sicherheit oder andere wichtige details?

InformationsquelleAutor DavidR | 2010-06-19
  1. 12

    Sollten Sie:

    Empfohlene Lektüre:

    PHP Security Guide

    • Kurz, süß, auf den Punkt. Ich danke Ihnen sehr!
    • Sie sind willkommen 🙂
    InformationsquelleAutor Sarfraz
  2. 4

    Sarfraz Ahmed brachte einige gute Ressourcen für das Lesen. Sie können auch eine PHP-Klasse für die Authentifizierung von Benutzern, gibt es viele. Ich meine selbst haben ein Projekt namens userFlex auf sourceForge http://uflex.sourceforge.net

    userFlex hat eine anständige Dokumentation, und es tut mehr als nur die login-Benutzer; es beginnt die Anmeldung und Feld-Validierungen, Passwort resets, Bestätigung codes für Registrierungen, Griffe, sessions und mehr wie autologin.

    Wieder im gerade aufstellen userFlex als ein Beispiel, könnten Sie auch einen Blick in http://www.phpclasses.org/browse/file/5269.html oder viele andere gute Klassen in PHPclasses.org.

    InformationsquelleAutor Pablo
  3. 3

    Verwenden JanRain Engage (ehemals rpxnow.com) für die Authentifizierung. Ihre Lösung können Sie Ihre bestehenden Anmeldeinformationen von Google, Yahoo, Microsoft, Facebook und andere log in Ihre Website. Viele dieser Anbieter geben eine gültige OpenID und oft eine gültige E-Mail-Adresse als Teil der Authentifizierung.

    Wenn Sie JanRain, die Sie dann nur noch zum speichern der E-Mail-Adresse oder OpenID für einen Benutzer, und Sie nicht haben, um zu speichern Passwörter oder Passwort-hashes. Darüber hinaus Sie don ' T haben, um die Passwort-reset-Funktionalität, oder "ich habe mein Kennwort vergessen". Auch Ihre Benutzer-Registrierung Funktionalität viel kleiner sein kann, weil Sie es mit einer gültigen E-Mail-Adresse oder OpenID zur Verfügung gestellt durch seinen Besitzer.

    Die Kommunikation zwischen Ihrer Anwendung und JanRain ist authentifiziert und verschlüsselt, es wird also alles nice & sicher.

    • Stimmt, aber auch daran erinnern, dass OpenID können haben auch Nachteile. Siehe stackoverflow.com/questions/410085/... für ein Interessantes Gespräch in dieser Hinsicht.
    • Wenn ich sage, OpenID, ich meine JanRain Engage ' s version davon. Sie verwenden OpenID unter der Decke, und der Benutzer hat nie zu sehen. Der Benutzer sieht nur userid & Passwörter, die Sie wissen, von Goog/Yahoo/MS/FB et al. Und Sie müssen nie geben Sie Ihre userid und Ihr Passwort in eine beliebige Seite außer der login-Seite des identity providers.
    • Das könnte tatsächlich das sein, was ich am Ende mit. Vielen Dank für die mit mir diese.
    InformationsquelleAutor Jay Godse
  4. 1

    MÜSSEN Sie verwenden die php-Funktion MD5 für die Passwörter. Einfache Weise zu sichern. Auch stellen Sie sicher, Sie verwenden die Funktion strip_tags in php so, dass jemand kippe ausführen von Befehlen in der Eingabe-Boxen. Da gibt es nicht sensetive Daten, die ich glaube nicht, dass Sie brauchen, um zu verschlüsseln nichts. Nur stellen Sie sicher, dass das login-system ist perfekt, und der Benutzer hat keine andere Möglichkeit, den Zugriff auf Daten, ohne sich anzumelden..

    Shud Wünsche, genügt für ein einfaches login-script..

    • "Sie MÜSSEN die php-Funktion MD5" => es ist zwar ratsam, ein Kennwort hash, md5() ist kaum der einzige Weg...
    • in der Tat, MÜSSEN Sie NICHT mit MD5 für das Passwort-hashing, aber eher etwas langsamer und entwickelt für Passwörter, wie BCRYPT oder sogar SCRYPT.
    InformationsquelleAutor Laz
Schreibe einen Kommentar