Sichere PHP-Authentifizierung-system
Dies wurde viele Male gefragt, aber keine Antworten sind befriedigend, ich schaute online für sichere tutorials, aber ich habe nicht gefunden, etwas, das gut genug ist, würden Sie wollen, um in einer wichtigen Webseite. Es scheint nur, wie es gibt so viele Möglichkeiten, um rund um die Sicherheit.
Kennt jemand ein GUTES? Was tun Sie Jungs tun, wenn Sie eine website erstellen, die braucht so etwas?
- Es gibt eine Menge (viele open-source -) guten draußen. Sie sagen, Sie haben nicht gefunden ein "gut genug". Würde es helfen, wenn Sie Ihre Anforderungen definiert, die vor der Frage, was ist die bessere. Also, was sind Ihre Anforderungen für das system? Denken Sie daran, keine Sprache oder system wird jemals befreien Sie von der Last der Klärung Ihrer Vorstellungen (von xkcd.com/568)...
- Im Grunde etwas, das Sie verwenden würden, in einem Ort speichern wichtige Informationen wie Kreditkarten-und solche, wo Sie nicht wirklich leisten, eine Pause an.
- Das ist immer noch nicht eine Reihe von Anforderungen. Sie müssen herausfinden, was Sie brauchen, die Authentifizierung zu tun und suchen dann den auth-Systeme, die es tun. Ich gehe davon aus, dass die Website unter SSL die ganze Zeit (da wie du sagst, es ist für "wichtige Informationen")... Wenn das der Fall ist, ein Beispiel für eine Anforderung wäre, die Nutzung sowohl der HTTP_ONLY und SSL-cookie-flags für alle cookie-Einstellung...
Du musst angemeldet sein, um einen Kommentar abzugeben.
Mit Sicherheit, der beste plan ist, um es nicht selbst; überlassen Sie es den Experten... und ich bin jemand mit einem schweren Fall von "Nicht Gebaut" - Syndrom.
Wenn Sie wollen lernen Sicherheit, es selbst schreiben, aber verwenden Sie es nicht in einer prod Umgebung.
Wenn Sie brauchen, um zu lernen, Sicherheit, schlage ich vor, zumindest das Lesen Sie sind Wahrscheinlich die Speicherung der Passwörter Falsch auf Coding Horror und Lesen Essential PHP Security.
Wenn Sie müssen Sicherheit in eine prod-Umgebung, erhalten Sie eine Bibliothek aus einer vertrauenswürdigen, professionellen Quelle, und verwenden Sie es. Ich schlage vor,OpenID.
Erhalten Sie Allgemeine, aber nützliche info hier - Der Definitive Leitfaden Für Website-Authentifizierung (beta).
Download open-source-frameworks oder CMS, Tauchen Sie ein in den code und sehen, wie es gemacht wird 🙂
Beispiel: Drupal !
Verwende ich eine Erlaubnis-basierte system, wo jeder Benutzer gehört zu einer Gruppe und jede Gruppe hat eine Reihe von Berechtigungen, die in jeder form verwende ich eine nonce Feld um zu verhindern, dass 'zufällige' bezwingend, wenn es wirklich wichtig ich überprüfen, Benutzer-Passwörter mit crypt und nicht die schwachen.
BEARBEITEN. Sie können auch E-Mail-Prüfung für wirklich wichtige Befehle.