Bezpečnost přihlašování v PHP – PHP – Fórum – Programujte.com

Ahoj,
potřeboval bych vědět na co vše při programování přihlášení musím myslet, aby bylo přihlášení bezpečné. Vím, že SQL inject to už mám vyřešené, ale ještě například, neměl by se hashovat i obsah proměnné v SESSION? Je ještě něco na co myslet?

díky za rady

No,
co to prihlasovani udelat treba nad zabezpecenym protokolem? https ;) Tak se pak ani nemusis moc babrat se zabezpecovanim sessions, protoze budou automaticky sifrovane certifikatem.

Nezapomenout na dobrou kontrolu loginu a hesla a jejich osetreni(trimem, kontrola typu promenne, escapovani pripadnych nebezpecnych znaku...)

To by mohlo pro zaklad mozna stacit ;)

+ by som dodal HASH SALT (najdi v googli, algoritmus solenia si mozes vymysliet aj sam)

dalej napr. po registracii a po uspesnom prihlaseni vlozit do stlpca pocet_naplatnych_loginov cislici 5, pri neuspesnom prihlaseni na konkretny existujuci login odpocitat od hodnoty stlpca -1, ked dosiahne 0 nahradit ju odtlackom casu (napr. time() + 3600) a ked bude znova dosiahnuty cas, znova umoznit prihlasenie (cize 5 pokusov na hodinu)
teda zabezpecit pred brutalnym utokom zistit heslo..

a daloooooooooooo by sa pokracovat do rana :)

1.) f-ce stripslashes();
2.) Mysql_real_string_escape(); alebo Mysql_real_escape_string()?...
3.) OpenSSL,pokiaľ ho host podporuje
4.) Zabrániť XSS (Cross Site-Scripting)
5.) CATPCHA resp. RECAPTCHA alebo proste vygeneruj obrázok so zvieraťom a aby to inputu zadal jeho názov.
6.) Config.NIKDY HO NEDÁVAJ DO ROOTU pokiaľ nemá ochranu; //Ja si conf dávam do: XML súboru,a niekde veľmi hlboko do zložiek.
7.) SESSION IDy
8.) POČET max. loginov
9.) DATABÁZA,používať hashe typu Blowfish,Rijndael.(Áno sú scripty týchto hashov aj v PHP)
10.) IP overenie //Pomáha to ak človek nemá DHCP,potom je to na nič
....toť tak kúsok o bezpečnosti...