2015-10-04 200 views
1

我想創建一個認證系統,允許用戶登錄到網站的安全區域。PHP安全會話和用戶登錄

我一直在做一些閱讀,並已決定從

https://crackstation.net/hashing-security.htm

我也想利用這裏的PHP類加密會話數據散列和鹽使用提供的PHP類

http://www.zimuel.it/encrypt-php-session-data/

https://github.com/ezimuel/PHP-Secure-Session

我將使用PDO和消毒我的輸出。基本SSL將在登錄表單上並且CAPCHA's

我想知道如果他們是其他任何人都可以推薦來保護會話和網站的安全。

安全領域將是一個PHP的前端到數據庫(CRM

在此先感謝

+0

你爲什麼想要加密會話數據? (並不是說你不應該這樣做,但我覺得你正在考慮這樣做,因爲你已經看到了,而不是理解你爲什麼要這樣做。) – Eborbob

回答

2

The author of the CrackStation article是我的好朋友,所以讓我提供一點歷史背景:這是寫在password_hash()password_verify()之前寫在PHP 5.5。這意味着你應該使用PHP提供給你的東西。 (如果您使用的是舊版本的PHP,請升級。)順便提一句,PHP 5.5也提供hash_pbkdf2(),但hash_equals()直到5.6纔會到達。

幸運的是,我確實有一篇博客文章詳細地討論了PHP session security