Some security notes: In order to avokimlik many of the problems that fall into the authentication and authorisation groups of the OWASP webapp attack classification list, use the user authentication subsystems already implemented in your web framework of choice. They are likely to have already written secure code that covers a lot of the problems related to authentication and sessions and will likely be far more secure than anything you roll yourself.

Kesinlikle ise, olumlu, kendi auth rulo, ya da başka bir değerlendirmek istiyorsanız gerekir; o / onlar bu kurallara uymak zorundadır.

• Oturum tanımlama kullanım için uygun bir rasgele ve tahmin edilemeyen session kimlik uygulamak.
• Session kimlik zorunlu izin vermeyin.
• When permissions or credentials are changed (e.g. the user been upgraded to a higher security, the user has changed their password) then immediately invalkimlikate the session and start a fresh one.
• Bir çıkış özelliği sağlayan ve oturum kapatıldıktan sonra oturumu geçersiz.
• HttpOnly için çerez ayarla
• Her zaman olmayan kullanımdan sonra oturumları sona erecek ve eski http oturumu kullanıcı reconnecting tarafından "yapman beni tutmak" uygulamak gerekmez.
• 2 seans aynı anda aynı session kimlik olamaz olun
• Bir oturumu geçersiz olduğunda tüm oturum verileri yok olduğundan emin olun. Birlikte gelen yeni bir kullanıcı, sadece daha önceden kullanılan bir session kimlik atanmış olsun ortaya çıkabilir. Bu yeni oturumda, oturum kimliği karşı önceden ayarlanmış olan oturum verileri herhangi bir erişim olmamalıdır.

Bunu orada komut bol PHP konusunda ciddi iseniz, kendi kimlik doğrulama komut dosyası yazmak gerekir, vardır.

Kontrol ya da sadece 'php authentication' google, başlatmak yardımcı olmak için mevcut kaynakların bol miktarda (bu satırlar boyunca ya da bir şey) vardır.

http://net.tutsplus.com/videos/screencasts/how-to-build-a-login-system-for-a-simple-website/ http://www.devarticles.com/c/a/MySQL/PHP-MySQL-and-Authentication-101/

Her zaman inanmayarak ile çevrimiçi kaynaklara almalıdır Ancak, birçok tür XSS vb gibi kullanıcı yönetimi güvenlik yönleri üzerinde basmayacak

Ayrıca, CakePHP veya Zend Framework olarak yerleşik kimlik doğrulama kütüphaneleri, bazı PHP çerçeveleri kontrol etmek isteyebilirsiniz.

Hiçbir best one vardır ve bir script olabilir ciddi bir çözüm yoktur. Doğrulama bir küresel politika ve bunun tüm Web sitesi ile entegre edilmesi gerekir. Kendi kod veya uygulayan bir çerçeve de kullanabilirsiniz.

Size kendi uygulama kod başlarsanız, onlar zayıf (ama sıradan bir web sitesi için yeterli) olacak gibi ilk girişimleri, sadece hassas olmayan veriler için kullanılabileceğini unutmayın.

Stoosh takip isteyebilirsiniz bazı iyi yol vardır.

Sadece bu göründüğü kadar önemsiz değildir ve açık çözümler olasılıkla daha az güvenli olduğunu unutmayın. Fakat yine de, you probably doesn't need CIA style security, so don't stress and enjoy learning programming.

Bir acemi olarak, ben öğreticiler için googling ve Zend Framework gibi bir PHP çerçeve kullanarak düşünüyor öneririz.

Doğrulama acemi geliştiriciler görünüşte% 90 için hazır ambalajlı çözümü kullanmak isteyen şeylerden birkimlikir, ama bunların hiçbiri yeterli.

Kendi yazma bir geliştirici olarak size geliştirmek ve temel web geliştirme açısından ve bu gibi teknolojiler, bir çok konuda size öğretecektir:

• XSS
• Şifreli güvenli karma
• HTTPS / SSL
• CSRF