我想创建一个允许用户登录网站安全区域的身份验证系统。
我一直在做一些阅读,并决定使用
提供的php类来哈希和盐我还在考虑使用php类来加密会话数据
和
我将使用PDO并清理输出。基本SSL将在登录表单上打开并CAPCHA's。
我想知道他们是否还有其他任何人都可以推荐以保护网站的会话和安全性。
安全区域将是数据库(CRM)
提前致谢
答案 0 :(得分:3)
The author of the CrackStation article是我的好朋友,所以让我提供一些历史背景:它是在password_hash()和password_verify()落在PHP 5.5之前编写的。这意味着你应该只使用PHP给你的东西。 (如果您使用的是旧版本的PHP,请升级。)顺便说一句,PHP 5.5还提供hash_pbkdf2(),但hash_equals()直到5.6才到达。
幸运的是,我碰巧有一篇博文,详细介绍了PHP session security。