la seguridad CodeIgniter - base de datos MySQL
https://stackoverflow.com/questions/675172
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy en las etapas finales de la implementación de un sitio de CodeIgniter que requiere un sistema de acceso muy simple. Un usuario, y una contraseña para proteger el área de administración. Creo que va a utilizar una de las muchas bibliotecas de autenticación CodeIgniter, que deberían permitir a mí para asegurarse de que la gente no puede leer desde la base de datos sin tener que entrar como administrador (es de esperar). ¿Hay agujeros evidentes en un montaje como éste? ¿Debo tomar medidas adicionales más allá de usar de una biblioteca como esta para garantizar la seguridad de los datos en la base de datos MySQL? Se aloja en un servidor compartido; significando poca o ninguna configuración del servidor será posible.
Solución
Hay una larga discusión acerca de los sistemas de autenticación disponibles aquí: Como deberia elegir una biblioteca de autenticación para CodeIgniter?
La última versión de Redux parece ser el favorito.
Otros consejos
he utilizado en el pasado (con excelentes resultados) DX de Auth 1.0.6.
Se puede encontrar en http://codeigniter.com/forums/viewthread/98465/
Me gustaría crear autenticación simple basada en formularios, y utilizar una contraseña segura.
autentificaciónHTTP tiene demasiados problemas en mi humilde opinión:
- Más fácil de piratear la fuerza bruta.
- Cualquiera que olfatea la solicitud puede determinar el nombre de usuario y la contraseña que se utiliza, sino que ni siquiera necesita a; que sólo puede utilizar un HTTP idénticos a sí mismos.
- Una vez que la lista aparece, es difícil de descartar, que puede ser irritante.
- Muchos navegadores le pedirá dos veces para una contraseña antes de dejar entrar.
- Es difícil cerrar la sesión o cambiar de usuario, por lo general tiene que salir del navegador.
- fácil olvidar que has dejado que el navegador guarde sus credenciales, lo cual es otro riesgo potencial para la seguridad.
Si se trata de un servidor Apache, y yo consideraría sólo la creación de un directorio protegido htpasswd. Lea más sobre esto aquí .
