HTTPS和安全

Question

當用戶登錄我的網站時，他們的數據通過一個單獨的頁面傳遞，即他們登錄在login.php頁面上，但數據在login.inc上被檢索/存儲/驗證等。 .PHP。所以用戶永遠不會看到這個頁面，之後他們會直接轉到他們的個人資料頁面。

1. 如果login.php使用HTTPS或login.inc.php頁面？如果是這樣，爲什麼不，爲什麼不呢？
2. 所有數據都是通過POST的形式發送的，我使用$mysqli->real_escape_string，準備好了語句並使用hash_hmac來散列密碼。如果我使用HTTPS，這些步驟是否必要？
3. 如果不是，我應該實現哪些其他安全功能？

Answer 1

1. 您必須只使用HTTPS而客戶端與之交互這些網頁（即login.php），因爲login.inc.php被包括在服務器的頁面。
2. 這些步驟與HTTPS的使用無關，僅用於內部腳本安全性（即防止SQL注入等）。
3. 只要您使用HTTPS進行服務器與客戶端的交互（提供的所有外部文件（如javascript和該頁面中的圖像也通過SSL加載）），則不應擔心連接的安全性。