我在PHP中使用私有访问构建应用程序。登录有两种方法:
为防止机器人进行强力攻击,服务器会创建一个会话(带有session_start的cookie),经过4次尝试后,用户必须等待5秒才能再次尝试。我使用超全局变量$ _SESSION来检查某人尝试连接的次数。
我担心的是不允许使用Cookie的用户。在那种情况下,他们不必每4次尝试等待5秒。关于防止蛮力的最佳方法,我有点困惑:
谢谢,
答案 0 :(得分:-1)
我肯定会选择基于数据库的解决方案。也许在5次尝试失败后锁定帐户2分钟,但这实际上只是个人决定..但是,您可能不想阻止IP,因为许多大公司甚至国家使用一个NAT的IP进行通信,而是我锁定帐户。
答案 1 :(得分:-2)