我正在尝试编写一个拥有用户帐户的网站。除了密码和电子邮件地址之外,没有太多敏感信息。但我真的不明白我在做什么;在我走的时候,我有点乱砍它。关于安全性或任何其他重要细节,我应该记住什么吗?
答案 0 :(得分:12)
你应该:
推荐阅读:
答案 1 :(得分:4)
Sarfraz Ahmed带来了一些很好的阅读资源。您也可以使用PHP类进行用户身份验证,有很多。我自己在sourceForge http://uflex.sourceforge.net
上建立了一个名为userFlex的项目userFlex有一个不错的文档,它不仅仅是登录用户;它进行注册和现场验证,密码重置,注册确认代码,处理会话等更多自动登录。
我再次以userFlex为例,你也可以在http://www.phpclasses.org/browse/file/5269.html中查看PHPclasses.org或许多其他优秀的类。
答案 2 :(得分:3)
使用JanRain Engage (formerly rpxnow.com)进行身份验证。他们的解决方案让人们可以使用Google,Yahoo,Microsoft,Facebook和其他人的现有凭据登录您的网站。许多这些提供商将提供有效的OpenID,并且通常是有效的电子邮件地址,作为身份验证过程的一部分。
如果您使用JanRain,则只需为用户存储电子邮件地址或OpenID,您不必存储密码或密码哈希。此外,您不必实施任何密码重置功能,也不必“忘记密码”。此外,您的用户注册功能可以小得多,因为您使用其所有者提供的有效电子邮件地址或OpenID启动它。
您的应用程序和JanRain之间的通信已经过身份验证和加密,因此它非常好用。安全。
答案 3 :(得分:1)
您必须使用MD5 php函数来输入密码。保护它的简单方法。还要确保在php中使用strip_tags,以便某人无法在输入框中执行命令。由于没有任何感性数据,我认为你不需要加密任何东西。只需确保登录系统完美,用户无需登录即可访问数据。
Shud足以用于基本登录脚本..