我正在一个旧网站上工作,并努力使其达到今天的网络标准。该网站包含许多数据库表,其中一些数据库表超过100万行。该网站没有用户系统:我今天删除了用户数据库表。它有10万用户,现在都没有了。由于存在不安全因素和存储信息的方式 - 是的,我的OCD被踢了!),我正在为用户创建一个新表并以正确的方式存储密码!不是使用md5()!
对于之前添加到网站的数据..我想创建一个名为“系统”的用户帐户。这是将为添加到网站的旧数据显示的默认用户。如何才能使此帐户无法访问!?我应该为数据库中的密码添加什么,以便没有人可以破解它(因为password_hash()功能,破解它应该很难)!
我是否应该设置一个比我的password_hash()功能更短的值...是否会使网站上的帐户无法访问?为什么我不应该这样做的弊端?
要么
我是否应该制作一个复杂的密码,以至于我不记得了?
最后一件事,考虑在你点击那个按钮之前回答。
答案 0 :(得分:1)
我认为最好的方法是添加到用户表列banned,例如将其设置为用户系统为true。在您的auth脚本中,您可以检查此列的值。
答案 1 :(得分:1)
有几个选择:
将active列添加到数据库
您将在登录时检查该列。因此,您可以拥有仍然代表但尚未激活的帐户(因此无法对其进行身份验证)。
如果这是您用过的唯一帐户,那可能会有点过分。
清空password哈希列
然后,当尝试password_verify()对空哈希时,它就会失败。
你可以制作一个随机密码,但为什么要这么麻烦?
一个注意事项:确定在密码重置功能中发出异常,不允许重置系统帐户。