HTTPS&安全

时间:2013-12-21 10:34:40

标签: php security https

当用户登录我的网站时,他们的数据通过一个单独的页面传递,即他们登录login.php页面,但在login.inc.php上检索/存储/验证数据等。因此,用户永远不会看到此页面,之后会将其直接转移到他们的个人资料页面。

  1. login.php应该使用HTTPS还是login.inc.php页面?如果是这样的话,为什么不呢?
  2. 所有数据都是通过POST从表单发送的,我使用$mysqli->real_escape_string,准备好的语句并使用hash_hmac哈希密码。如果我使用HTTPS,这些步骤是否必要?
  3. 如果没有,我应该实施哪些其他安全功能?

1 个答案:

答案 0 :(得分:0)

  1. 您必须仅对客户端与之交互的页面使用HTTPS(即login.php),因为服务器将login.inc.php包含在页面中。
  2. 这些步骤与HTTPS的使用无关,仅用于内部脚本安全性(即防止SQL注入等)。
  3. 只要您使用HTTPS进行服务器 - 客户端交互(如果该页面中的所有外部文件(如javascript和图像也通过SSL加载),则不应担心连接的安全性。