La creación de una página web con las cuentas de usuario, ¿qué tengo que tener en cuenta?

Question

Estoy intentando escribir un sitio web que contiene las cuentas de usuario. No hay mucha información sensible que no sea la dirección de correo electrónico y contraseña. Pero yo no entiendo muy bien lo que estoy haciendo; Soy una especie de piratería a lo largo de como voy. ¿Hay algo que debería ser teniendo en cuenta con respecto a la seguridad o cualquier otro detalle importante?

Answer 1

Usted debe:

• cifrar datos sensibles
• evite:
  • inyección sql evitar
  • secuestro de sesión
  • de fijación de sesión

Lectura recomendada:

Guía de seguridad de PHP

Answer 2

Sarfraz Ahmed hizo subir algunos buenos recursos para la lectura. También es posible usar una clase PHP para la autenticación de usuario, hay un montón. Yo mi auto han puesto en marcha un proyecto llamado userFlex en SourceForge http://uflex.sourceforge.net

userFlex tiene una documentación decente y lo hace más de usuarios que han accedido a solo; lo hace validaciones de registro y de campo, restablecimiento de contraseñas, códigos de confirmación de inscripciones, sesiones de asas y más como inicio de sesión automático.

Una vez más soy sólo la colocación de userFlex como un ejemplo, usted podría también mirar en http: //www.phpclasses.org/browse/file/5269.html o muchas otras clases buenas de la PHPclasses.org .

Answer 3

JanRain Engage (anteriormente rpxnow.com) para la autenticación. Su solución permite a las personas utilizan sus credenciales existentes de Google, Yahoo, Microsoft, Facebook y otros para iniciar sesión en su sitio. Muchos de estos proveedores dará un OpenID válida y, a menudo una dirección válida de correo electrónico como parte del proceso de autenticación.

Si utiliza JanRain, que entonces sólo tiene que almacenar la dirección de correo electrónico o el OpenID para un usuario, y usted no tiene que almacenar contraseñas o hashes de contraseñas . Por otra parte, usted no tiene que implementar cualquier funcionalidad de restablecimiento de contraseña, o "olvidado mi contraseña". Además de su funcionalidad de registro de usuario puede ser mucho más pequeño porque se inicia con una dirección de correo electrónico válida o OpenID dada por el propietario.

La comunicación entre la aplicación y JanRain es autenticado y encriptado, por lo que es todo lo agradable y segura.

Answer 4

Debe usar la función MD5 php para las contraseñas. Una manera sencilla de asegurar la misma. También asegúrese de que utiliza strip_tags en php para que alguien no puede ejecutar comandos en los cuadros de entrada. Dado que no hay ningún dato sensetive No creo que necesita para cifrar nada. Sólo asegúrese de que el sistema de inicio de sesión es perfecta y el usuario no tiene otra manera de acceder a los datos sin necesidad de acceder ..

Shud suficiente para una secuencia de comandos de inicio de sesión básica ..