我在打開我的網站的最後一步,但唯一讓我瘋狂的是php用戶管理。我發現了構建這些系統的大量資源,我相信我可以用自己的方式編寫它們。問題是,當談到安全問題時,我非常害怕發生什麼事情。例如,當涉及通過SSL發送敏感信息時,一些人建議確保信息在註冊表單中加密,以便攻擊者無法破解它。還有一些其他建議要確保調試信息不會在錯誤發生時顯示,以便攻擊者無法回溯鏈接等。php用戶管理系統
現在,我從這裏和那裏讀取的MD5是不安全的,所以我想知道如何哈希新的用戶密碼等......我找到了一些已經提供了一些用戶管理的程序員的鏈接,但沒有確定它們是否足夠好,因爲我關心安全作爲優先事項CodeCanyon
那麼現在我需要關注哪些安全措施? 有沒有與此相關的任何資源?
謝謝,
你不必(不應該)(你不應該)在人們告訴你實現的不同事物之間進行選擇。良好的安全性始終是分層的,這意味着您可以儘可能多地實施保護。這種方法有多種用途。每層可以防止不同的攻擊。每層可以防止具有不同體驗的攻擊者。每層可以增加攻擊者所需的時間。
以下是對驗證系統有用的一些tipps。
正如你所看到的,你可以做很多事情(更多的人可能會告訴你更多的東西),你應該做什麼取決於你願意接受的風險。但永遠不要依賴單一的安全措施,總是有一個分層的方法。
使用SHA1,用於存儲口令,防止SQL注入和XSS腳本作爲輸入字段。 會話劫持,注視預防。
感謝您的評論,但正如ultimA所提到的,這是一個非常漫長的方式來保證事情安全。 – 2012-02-06 13:10:41
只是一個快速的問題隊友,是否有一個完整和安全的系統被稱爲非常好,它不是免費的! – 2012-02-06 14:20:05
謝謝。我想最好是使用b-crypt,因爲它更好,更安全。歡呼聲 – 2012-02-07 02:38:15
回答你的直接問題:已經證明,MD5確實有碰撞,並且有彩虹桌漂浮在附近(見Wikipedia)。 PHP確實有一些散列函數available都具有不同的優點和缺點。另請參閱php.net上的評論部分。
關於一般Web應用程序的安全性,我建議你看看OWASP project,這是關於使Web應用程序更安全。一個好的開始將是看看Top Ten security vunerabilities(藍色框中的「前十名」)。
感謝您的評論。非常真實的是,隨着科技變得越來越複雜,更好,MD5不再好。 順便說一句,感謝您提供關於OWASP的提示。這是偉大的系統。 – 2012-02-06 12:46:55
順便說一句,我發現一個免費的用戶管理軟件[majordojo](http://www.majordojo.com/php-users/)它不是一個壞的。 – 2012-02-06 13:09:10
起初,您應該通過SSL(TSL)將數據發送到服務器,這將進行加密。你也應該爲發送給服務器的任何表單使用CSRF保護。
當你已經實現你的功能,他們的工作,你應該嘗試自己破解你的網站。嘗試通過表單注入SQL,JS,嘗試在表單發送後操縱日期,還可以嘗試生成將寫入您的PHP錯誤日誌,即使在您的服務器設置較弱時也可以執行。 (http://en.wikipedia.org/wiki/Hardening_(computing))
當您在數據庫中存儲密碼時,使用種子散列函數,如果任何人能夠破解您的數據庫並獲取散列,他將無法在沒有種子的情況下加密它們。
您將通過谷歌找到關於所有技術的許多信息。
@ tbaun89非常感謝您的好評。你是完全正確的,我相信測試執行的好壞非常重要,所以我可以檢查它的強弱程度。 – 2012-02-06 12:38:20
非常感謝** ultimA **的迴應。我可以看到你列出了所有可能引起關注的問題。我相信我必須不斷尋找所有這些問題的解決方案。再次感謝。 「 – 2012-02-06 12:36:16
」列出了所有可能的問題「 - 謝謝,但名單遠遠沒有完成。這些僅僅是一些例子,還有其他一些與安全有關的事情,比如登錄限制,確保使用一個好的隨機源驗證腳本的所有輸入(參數和用戶輸入),使用瀏覽器功能(HSTS,x-frame-選項等)以及可能還有一些其他東西,這些東西或者不在我的腦海裏,或者我甚至不知道。 – ultimA 2012-02-07 21:13:18