前段時間我創建了這個基於LAMP的web。當時我寫了我自己的用戶驗證和訪問控制系統。它檢查用戶是否使用正確的密碼登錄,以及他/她是否具有訪問給定頁面的正確權限級別。狀態信息通過PHP會話進行處理,而用戶名,被醃製,散列密碼和用戶級別存儲在MySQL後端。所有的用戶輸入都已經過清理等。用戶必須訪問站點wtith SSL。PHP中的身份驗證/訪問控制
問題是,我開始第二次猜測自己,並對安全性變得偏執。所以我正在尋找改進它的方法。
你能不能給我建議:
- 的安全測試一些綜合性名單,我可以實現和對其運行
- 最佳實踐實現這種系統
是有一個強大的開源框架或庫集,你可以推薦使用,而不是一個家庭成長的?傳統觀點認爲,採用成熟,經過測試的系統通常比從頭開始編寫自己的系統要好。你會推薦什麼?
請您詳細介紹'REGISTER_GLOBALS'嗎?我對它的作用以及它如何危及安全性感興趣。 – casraf 2010-02-28 11:08:16
請閱讀此處:http://php.net/manual/en/security.globals.php :)實際上它從5.3.0開始已被棄用,但直到6.0時纔會被刪除,所以許多Web服務器可能會設置它通過默認打開。 – 2010-02-28 11:15:17
謝謝:)我應該自己利用這個技巧 – casraf 2010-02-28 11:18:41