Giriş formları için HTTP POST kullanarak

2 Cevap php

Ben düzenli HTTP POST yöntemi ile oturum açma bilgilerini göndermek için standart bir form kullanın ve ardından ayrıntıların doğru olup olmadığını kontrol etmek php kullanarak doğrulamak. Ben bazı güvenlik derecede vermek için şifreler (ve bazen kullanıcı adları) bir md5 hash kullanmak, bu yüzden yetkisiz bir kişi, ya da bir şey tarafından inceledi durumda benim kodunda bir ham parola saklamak değilim.

Ben sadece güvenlik inilti ya da çileden çıkarak en azından işaret bile belirsiz bir anlayış ile herkes yaptık eminim.

Geçenlerde kullanıcı ve şifreler bir MySQL veritabanı olan bir forumda çalışıyoruz, şifreler md5 karma olarak depolanır, ancak ben HTTP POST üzerinden giriş formu gönderirken yakalanmadan bilgilerin olasılığı olduğunu merak edilmektedir. Ben MySQL enjeksiyon saldırıları olanakları farkındayım ve herhangi bir basit saldırılara karşı güvende olduğumu düşünüyorum.

Bu tür şeyler geldiğinde ben bir güvenlik uzmanı değilim, ama HTTP üzerinden gönderilen zaman yakalanmadan şifreleri olanaklarını sınırlamak istiyorum.

Bu büyük bir site değil, bu yüzden saldırıları hakkında aşırı endişeli değilim ve HTTPS gerçekten bir olasılık değil, bu yüzden giriş bilgilerinizi göndererek bu yöntemi kullanırken ben takip edilmelidir standart uygulamaları tavsiye arıyorum.

Şerefe

2 Cevap

Sen sunucusu tarafından sağlanan bir meydan okuma tuz dayalı parolası bir istemci tarafı karma yapmak gerekir. Bu meydan okuma, her istek için farklı olmalıdır.

Sonraki doğrulama farklı bir karma gerektirecektir beri bu şekilde, şifre hash ele bile, bu, yararlı bir şey için kullanılabilir olmaz.

Neyse, HTTPS doğru ve güvenli bir şekilde olmalıdır.

Temel bir öneri olacaktır: kimseye güvenmiyorum.

Yani, metin alanlarında Javascript için, SQL enjeksiyon için POSTed verileri sınamak, ve veritabanında saklanan sade şifreleri kaçının.

etiketler