5
我經常使用標準表單通過HTTP POST方法發送登錄信息,然後使用php驗證其是否正確。我對密碼(有時用戶名)使用md5散列來提供某種程度的安全性,所以我沒有在我的代碼中存儲原始密碼,以防未經授權的人查看,或者類似的東西。使用HTTP POST登錄表單
我敢肯定,我只是做任何安全呻吟的甚至是模糊的認識或惱怒至少嘆息。
我最近一直在論壇上有一個MySQL數據庫的用戶和密碼,密碼存儲爲MD5散列,但我擔心,當通過HTTP POST發送登錄表單時,信息被攔截的可能性在那兒。我意識到MySQL注入攻擊的可能性,並認爲我可以安全地避免任何簡單的攻擊。
我不是一個安全專家,當談到這個有點東西,但我想限制密碼的可能性時,通過HTTP發送被截獲。
這不是一個很大的網站,所以我並不過分擔心攻擊,HTTPS並不是一種可能性,所以我在尋找關於使用此方法發送登錄信息時應遵循的標準實踐的建議。
乾杯
什麼是最好的哈希(如果這甚至是一個術語)使用PHP來做到這一點?在發送之前散列輸入的最佳方法是什麼? 我假設,雖然可能是錯誤的,我希望使用JavaScript採取用戶輸入並在提交表單之前對其進行哈希處理,但如果關閉javascript,則不起作用。 – andyface 2009-11-16 11:10:26
我通常堅持標準算法,兼顧安全性和兼容性。 PHP有一個sha1()函數,適用於大多數用途。你顯然需要一些客戶端代碼來做到這一點,無論是JavaScript,一個小程序,一個瀏覽器插件等。我會去JS。您始終可以提供不太安全,無腳本的登錄表單。 – Patonza 2009-11-16 12:04:30
https不會被緩存,是嗎?我不認爲你需要它爲一些小論壇... – 2011-02-17 21:53:10