这已被多次询问,但没有一个答案令人满意,我在网上寻找安全教程,但我没有找到足够好的东西,你想在一个重要的网站上使用。似乎有很多方法可以解决安全问题。
有谁知道好的吗?当你建立一个需要这样的网站时,你们做了什么?
答案 0 :(得分:3)
有了安全保障,最好的计划是不要自己动手;留给专家......而且我是一个严重的“Not Built Here”综合症的人。
如果您想学习安全性,请自行编写,但不要在prod环境中使用它。
如果您需要学习安全性,我建议您至少阅读编码恐怖片上的You're Probably Storing Passwords Incorrectly并阅读Essential PHP Security。
如果您在prod环境中需要安全性,请从值得信赖的专业来源获取库并使用它。我建议OpenID。
答案 1 :(得分:1)
您可以在此处获得一般但有用的信息 - The Definitive Guide To Website Authentication (beta)。
答案 2 :(得分:0)
下载开源框架或CMS,深入了解代码并了解它是如何完成的:) 示例:Drupal!
答案 3 :(得分:0)
我使用基于权限的系统,其中每个用户都属于一个组,并且每个组都有一组权限,在每种形式中我使用nonce字段来防止“意外”提交,如果真的很重要的话我用crypt检查用户密码而不允许弱者。
EDIT。你也可以使用电子邮件验证来获得非常重要的命令。