¿Manteniendo una base de datos segura de inicios de sesión e información?
https://stackoverflow.com/questions/3328000
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Quiero tener un formulario de inicio de sesión en un sitio web de caridad que estoy construyendo (es para un amigo, y estoy aprendiendo en la marcha), y quiero saber qué idiomas / software debo aprender a construir bases de datos para el usuarioInicio de sesión e información?NOTA: Tiene que ser seguro y relativamente sencillo de aprender para alguien con experiencia de programación moderada.
Actualización: entiendo que los CMS ofrecen buenas herramientas para los inicios de sesión, etc., pero quiero hacerlo solo solo.
Solución
Lo más sencillo que podría hacer es HASH y aplicar una sal a sus contraseñas antes de ingresarlas en la base de datos. "The Wicked Flea" tiene una respuesta bastante buena en otra pregunta aquí .
¿Has pensado en agarrar un cm de estante? La mayoría de los CMS decentes deben contener toda la funcionalidad que necesita para un sitio web de caridad simple. También le daría una solución sólida a su número de formulario de inicio de sesión.
editar
En cuanto a qué idioma usar. Realmente no es muy importante, mientras se sienta cómodo con él y esté dispuesto a poner tiempo y esfuerzo. Muestra en tu perfil que estás buscando aprender PHP. Parece que escribir un formulario de inicio de sesión en PHP sería un buen punto de partida. En cuanto a un final de la base de datos. Una vez más, realmente no importa. Simplemente por favor simplemente no use MS Access. La mayoría de los desarrolladores de PHP (asumiendo) parecen usar MySQL, ya que generalmente es lo que se incluye con un host web PHP.
sobre seguridad, hashing y agregar una sal a su contraseña es la cosa más fácil que puede hacer. Podrías hacer algo así:
- Clicks de usuario Registrarse enlace
- Trae un formulario de registro usando SSL
- Una vez que el usuario hace clic en el botón enviar
- contraseña hash. Agregue sal. Tienda en la base de datos. Agregar una sal a su contraseña hashed evitará que se ataque a un Tabla del arco iris a Brute Force sus contraseñas . Eche un vistazo aquí para funciones que se ocupan de las contraseñas de hashing.
- También podría obligar a los usuarios a crear una contraseña con reglas específicas. Como, que requiere que todas las contraseñas tengan más de 6 caracteres, al menos un número, etc ...
Una vez que el usuario necesita iniciar sesión, puede hacer algo similar a:
- Obtener el nombre de usuario y desinfectarlo. Recuerde nunca confiar en la entrada de los usuarios. No importa si Dios mismo quiere una cuenta en su sitio web.
- Escape la contraseña para asegurar que las personas sin una cuenta obtengan acceso a través de inyección de SQL . Puede hacer esto utilizando la función mysql_real_escape_string .
- Una vez que todo está en su lugar, puede consultar su base de datos para ver si hay alguna fila devuelta.
Por último, nunca envíe un correo electrónico a su usuario su contraseña en texto sin formato. Si el usuario olvida su contraseña, simplemente permita que creen una nueva contraseña. Puede hacerlo enviando al usuario un enlace en su correo electrónico que les dará la capacidad de hacerlo.
Honestamente, su mejor apuesta es probablemente para completar esta tarea y posterior a la vuelta (nueva pregunta) así con su código. Desde allí podemos analizarlo y llevarlo desde allí.
Algo a lo largo de esas líneas debe cumplir sus requisitos.
