Pflegen Sie eine sichere Datenbank mit Benutzeranmeldungen und -informationen?
https://stackoverflow.com/questions/3328000
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich möchte ein Anmeldeformular auf einer Wohltätigkeitswebsite haben, die ich erstelle (es ist für einen Freund und ich lerne unterwegs), und ich möchte wissen, welche Sprachen/Software ich lernen sollte, um Datenbanken für Benutzeranmeldungen und -informationen zu erstellen ?Notiz:es MUSS sicher sein und verhältnismäßig Für jemanden mit mäßiger Programmiererfahrung einfach zu erlernen.
Aktualisieren:Ich verstehe, dass CMS gute Tools für Anmeldungen usw. bieten.aber ich möchte das ganz alleine machen.
Lösung
Am einfachsten ist es, Ihre Passwörter zu hashen und mit einem Salt zu versehen, bevor Sie sie in die Datenbank eingeben.„The Wicked Flea“ hat eine ziemlich gute Antwort auf eine andere Frage Hier.
Haben Sie schon einmal darüber nachgedacht, sich ein CMS von der Stange zuzulegen?Die meisten anständigen CMS sollten alle Funktionen enthalten, die Sie für eine einfache Wohltätigkeits-Website benötigen.Es würde Ihnen auch eine solide Lösung für Ihr Problem mit dem Anmeldeformular bieten.
BEARBEITEN
Was die zu verwendende Sprache angeht.Es ist wirklich nicht sehr wichtig, solange Sie damit vertraut sind und bereit sind, Zeit und Mühe zu investieren.In Ihrem Profil wird angezeigt, dass Sie PHP lernen möchten.Es sieht so aus, als wäre das Schreiben eines Anmeldeformulars in PHP ein guter Ausgangspunkt.Was ein Datenbank-Backend betrifft.Auch hier spielt es keine Rolle.Bitte verwenden Sie einfach nicht MS Access.Die meisten PHP-Entwickler (vorausgesetzt) scheinen MySQL zu verwenden, da es normalerweise in einem PHP-Webhost enthalten ist.
Was die Sicherheit betrifft, ist das Hashing und das Hinzufügen eines Salts zu Ihrem Passwort das Einfachste, was Sie tun können.Sie könnten so etwas tun:
- Der Benutzer klickt auf den Anmeldelink
- Rufen Sie das Anmeldeformular mit SSL auf
- Sobald der Benutzer auf die Schaltfläche „Senden“ klickt
- Hash-Passwort.Füge Salz hinzu.In der Datenbank speichern.Das Hinzufügen eines Salts zu Ihrem gehashten Passwort verhindert, dass Angreifer ein verwenden Regenbogentisch um Ihre Passwörter brutal zu erzwingen.Schau mal Hier für Funktionen, die sich um das Hashing von Passwörtern kümmern.
- Sie können Benutzer auch dazu zwingen, ein Passwort mit bestimmten Regeln zu erstellen.Zum Beispiel die Anforderung, dass alle Passwörter mehr als 6 Zeichen, mindestens eine Zahl usw. haben müssen.
Sobald sich der Benutzer anmelden muss, können Sie Folgendes tun:
- Holen Sie sich den Benutzernamen und bereinigen Sie ihn.Denken Sie daran, den Eingaben des Benutzers NIEMALS zu vertrauen.Es spielt keine Rolle, ob Gott selbst ein Konto auf Ihrer Website haben möchte.
- Escapen Sie das Passwort, um sicherzustellen, dass Personen ohne Konto Zugriff über erhalten SQL-Injektion.Sie können dies mit PHPs tun mysql_real_escape_string Funktion.
- Sobald alles vorhanden ist, können Sie Ihre Datenbank abfragen, um zu sehen, ob Zeilen zurückgegeben werden.
Schließlich senden Sie Ihrem Benutzer niemals sein Passwort per E-Mail im Klartext.Wenn der Benutzer sein Passwort vergisst, erlauben Sie ihm einfach, ein neues Passwort zu erstellen.Sie können dies tun, indem Sie dem Benutzer in seiner E-Mail einen Link senden, der ihm die Möglichkeit dazu gibt.
Ehrlich gesagt ist es wahrscheinlich am besten, diese Aufgabe abzuschließen und (neue Frage) mit Ihrem Code auf SO zurückzusenden.Von dort aus können wir es analysieren und weiterverfolgen.
Etwas in dieser Richtung sollte Ihre Anforderungen erfüllen.
