[英]PHP Authentication
目前,我的身份驗證如下所示:
用戶輸入用戶名/密碼組合發送到服務器后,用戶名和密碼將被加鹽和散列(md5),並對照數據庫進行檢查。
如果正確且用戶已指定,則設置一個月的cookie。
如果用戶未指定設置Cookie,則閑置五分鍾后他們會自動退出。
我的問題僅僅是,是否需要以及如何使此方法更安全。 我的PHP相當流利,但在安全性方面還不太滿意。 任何幫助,指示,線索和一般幫助將不勝感激。
謝謝。 :)
只需確保從用戶名和密碼中去除斜杠即可避免使用mysql_escape_real_string進行SQL注入,而這正是您所需要的全部安全性。
這里有一些想法:
這就是我能想到的。
聽起來您正在嘗試發明新的身份驗證。 不做-改用阿米爾的建議。
但是,如果您想通過任何方式調整加密貨幣,以下是Javascript的一個想法:
鹽不是秘密。 將它與nonce
一起發送給客戶端-另一個具有足夠熵的隨機值。
客戶端發回nonce + hash(timestamp + hash(salt + password))
。 然后,服務器檢查nonce
是否是最近的。
這樣可以抵抗任何重放攻擊。
(通過+
表示串聯)。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.