Создание веб-страницы с учетными записями пользователей, что я должен иметь в виду?
Я пытаюсь записать веб-сайт, который имеет учетные записи пользователей. Нет большой уязвимой информации кроме пароля и адреса электронной почты. Но я действительно не понимаю то, что я делаю; я - вид взламывания его вперед, когда я иду. Есть ли что-нибудь, что я должен иметь в виду относительно безопасности или каких-либо других важных деталей?
4 ответа
Сарфраз Ахмед нашел несколько хороших материалов для чтения. Вы также можете использовать класс PHP для аутентификации пользователя, их много. Я сам создал проект под названием userFlex на sourceForge http://uflex.sourceforge.net
userFlex имеет приличную документацию и делает больше, чем просто авторизованные пользователи; он выполняет регистрацию и проверку полей, сбрасывает пароль, коды подтверждения для регистрации, обрабатывает сеансы и многое другое, как автоматический вход.
Опять же, я просто привожу userFlex в качестве примера, вы также можете изучить http://www.phpclasses.org/browse/file/5269.html или многие другие хорошие классы в PHPclasses.org .
Вы ДОЛЖНЫ использовать функцию MD5 php для паролей. Простой способ закрепить это. Также убедитесь, что вы используете strip_tags в php, чтобы кто-то не мог выполнять команды в ваших полях ввода. Поскольку нет никаких сенсорных данных, я не думаю, что вам нужно что-либо шифровать. Просто убедитесь, что система входа в систему идеальна и у пользователя нет другого способа получить доступ к данным без входа в систему ..
Shud достаточно для базового сценария входа в систему ..
Используйте JanRain Engage (ранее rpxnow.com) для аутентификации. Их решение позволяет людям использовать свои существующие учетные данные от Google, Yahoo, Microsoft, Facebook и других провайдеров для входа на ваш сайт. Многие из этих провайдеров предоставляют действительный OpenID и часто действительный адрес электронной почты в качестве части процесса аутентификации.
Если вы используете JanRain, вам нужно хранить только адрес электронной почты или OpenID для пользователя, и вам не нужно хранить пароли или хэши паролей. Более того, вам не нужно реализовывать функциональность сброса пароля или "забыл мой пароль". Также функциональность регистрации пользователя может быть намного меньше, поскольку вы запускаете ее с действительного адреса электронной почты или OpenID, предоставленного его владельцем.
Связь между вашим приложением и JanRain аутентифицирована и зашифрована, так что все хорошо и безопасно.