Maintenir une base de données sécurisée des connexions utilisateur et des informations?
https://stackoverflow.com/questions/3328000
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je veux avoir un formulaire de connexion sur un site Web de charité que je suis immobilisé (c'est pour un ami, et j'apprends-je sur le point), et je veux savoir ce que les langues / logiciels devrais-je apprendre à créer des bases de données pour l'utilisateurconnexions et informations?Remarque: il doit être sécurisé et relativement simple à apprendre pour une personne avec une expérience de programmation modérée.
Mise à jour: je comprends que la CMS offre de bons outils pour les connexions, etc. Mais je veux le faire tout seul.
La solution
La chose la plus simple que vous puissiez faire est Hash et appliquer un sel à vos mots de passe avant de les entrer dans la base de données. "The Wicked Flea" a une assez bonne réponse dans une autre question ici .
Avez-vous pensé à saisir une éteinte de la tablette de l'étagère? La plupart des CMS décents doivent contenir toutes les fonctionnalités dont vous avez besoin pour un simple site Web de charité. Cela vous donnerait également une solution solide à votre problème de formulaire de connexion.
Modifier
quant à la langue à utiliser. Ce n'est vraiment pas très important aussi longtemps que vous êtes à l'aise et disposé à mettre du temps et des efforts. Il montre dans votre profil que vous cherchez à apprendre PHP. On dirait écrire une forme de connexion en PHP serait un bon point de départ. Comme pour une base de données arrière. Encore une fois, ça n'a pas vraiment d'importance. Juste s'il vous plaît n'utilisez pas d'accès MS. La plupart des développeurs PHP (en supposant) semblent utiliser MySQL car il est généralement ce qui est fourni avec un hôte Web PHP.
À propos de la sécurité, du hachage et de l'ajout d'un sel à votre mot de passe concerne la chose la plus facile à faire. Vous pouvez faire quelque chose comme ceci:
- Utilisateur clique sur Inscription Link
- Amenez le formulaire d'inscription à l'aide de SSL
- Une fois l'utilisateur clique sur le bouton Soumettre
- mot de passe hachage. Ajoutez du sel. Stocker dans la base de données. L'ajout d'un sel à votre mot de passe haché empêchera l'attaque d'utiliser un table arc-en-ciel à la force brute de vos mots de passe . Jetez un coup d'œil ici pour des fonctions qui prennent soin des mots de passe de hachage.
- Vous pouvez également forcer les utilisateurs à créer un mot de passe avec des règles spécifiques. Comme, nécessitant tous les mots de passe d'être supérieur à 6 caractères, au moins un nombre, etc ...
Une fois que l'utilisateur doit se connecter, vous pouvez faire quelque chose de similaire à:
- Obtenez le nom d'utilisateur et assainez-le. N'oubliez pas de ne jamais faire confiance aux utilisateurs. Peu importe si Dieu lui-même veut un compte sur votre site Web.
- Échappez au mot de passe pour vous assurer que les personnes sans compte ont accès via Injection SQL . Vous pouvez le faire en utilisant la fonction mysql_real_escape_string de php .
- Une fois que tout est en place, vous pouvez interroger votre base de données pour voir s'il y a des rangées retournées.
Enfin, jamais envoyez votre mot de passe votre utilisateur en texte brut. Si l'utilisateur oublie leur mot de passe, laissez-leur simplement créer un nouveau mot de passe. Vous pouvez le faire en envoyant l'utilisateur un lien dans leur email qui leur donnera la capacité de le faire.
Honnêtement, votre meilleur pari est probablement de remplir cette tâche et de poster une nouvelle question (nouvelle question) sur votre code. À partir de là, nous pouvons l'analyser et le prendre à partir de là.
Quelque chose le long de ces lignes devrait répondre à vos besoins.
