這種技術足夠安全嗎?我能相信這樣的會議嗎?或者我應該添加一些東西?這個認證/登錄程序安全嗎?
驗證 - 模
class Auth {
public function login($user, $pass, $random_unique_salt)
{
if ($this->_bcrypt($pass, $random_unique_salt) === 'correct password hash') // etc.
{
// Success...
$session = Session::instance();
$session->set('login', TRUE);
$session->regenerate();
}
}
}
基地-controller
class Controller_Base extends Controller {
protected $_login = FALSE;
public function before()
{
$this->_login = Session::instance()->get('login', FALSE);
}
}
成員只有-controller
class Controller_Membersonly extends Controller_Base {
public function action_index()
{
if ($this->_login === TRUE)
{
// Success...
echo 'Show (safely?) some secrets.';
}
}
}
略微OT,但它看起來像你的密碼散列方案不使用鹽。你用什麼哈希?一些簡單的md5/sha-x,或爲密碼散列而設計的函數,比如bcrypt? – CodesInChaos
這只是一個隨機的例子,這就是爲什麼有評論//等等。Bcrypt是要走的路。 – kaulusp
好:)順便說一句,我建議你放棄你的標籤之一,以支持「php」標籤。一些可以回答這個問題的人可能會把「php」當作最喜歡的標籤,但不是你的。 – CodesInChaos