我们如何使用php传输用户凭据? (在登录表格中)
由于
答案 0 :(得分:3)
最好的方法是使用ssl(https页面)登录
答案 1 :(得分:3)
最简单的方法是使用https网址的表单操作,例如:
<form action="https://example.com/target.php" method="post">
或者,您可以进行某种摘要式身份验证。服务器将发送一个随机数和一个挑战,你通过javascript,将使用该数据和密码来构建一个摘要,你发送服务器供它检查。有关示例,请参阅HTTP digest authentication。
答案 2 :(得分:3)
您可以使用以下方法之一来阻止以明文形式通过该行发送密码:
答案 3 :(得分:3)
“用户凭据”不仅仅是用户名和密码。用户凭证是用于身份验证的任何数据。如果您在几毫秒后使用http泄露会话ID,则无需使用https作为登录页面。会话ID是一个凭证,必须像用户名/密码一样受到保护。
您必须对整个会话使用https。通过HTTP填充会话ID明显违反了OWASP前10:Broken Authentication and Session Management。