Faire une Secure Login
https://stackoverflow.com/questions/1119947
-
12-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis en train de faire une connexion sécurisée pour mon site que je développe.
Je ne peux pas juste le faire fonctionner, j'utilise bases de données MySQL avec PHP.
Je peux faire le formulaire pour ajouter l'utilisateur et leurs informations à la base de données, mais je ne peux pas sembler le faire fonctionner avec le login.
Quel type de cryptage est utilisé avec le langage HTML <input type="password">?
Comment puis-je garder l'utilisateur connecté tout au long de leur visite sur mon site?
Je comment puis-je vérifier en toute sécurité si c'est le bon mot de passe qui correspond au nom d'utilisateur?
Je suis en train de faire PHP pour peut-être un an, je viens pas encore appris cette partie donc il serait bon de savoir.
La solution
Quel type de cryptage est utilisé avec html ??
Aucun. L'entrée est juste masqué pour protéger contre « regardiez l'écran » attaques.
Si vous voulez la sécurité, transmettez vos données par HTTPS (HTTP avec SSL).
Comment puis-je garder l'utilisateur connecté tout au long de leur visite sur mon site?
La plupart des gens utilisent des cookies.
Je Comment puis-je vérifier en toute sécurité si c'est le bon mot de passe correspondant au nom d'utilisateur ??
Solidement?
Ne pas utiliser un serveur partagé. Suivez les étapes normales de conservation des données sur ce serveur sécurisé. les mots de passe de magasin, pas comme hash en texte brut.
Vérifier?
Convertir le mot de passe soumis au hachage correspondant, puis comparer normalement. En supposant que vous stocker les données dans une base de données, il suffit de sélectionner FROM utilisateurs WHERE utilisateur =? AND password =? et compter le nombre de lignes que vous revenez.
Autres conseils
Je vais répondre à la partie de protection par mot de passe de votre question.
Il n'y a pas construit dans le cryptage avec le type d'entrée de mot de passe. Le navigateur présentera comme texte brut comme tout le reste. Il existe deux façons de protéger le mot de passe.
La première consiste à mettre en place un système défi / réponse mais cela nécessitera Javascript pour travailler. Fondamentalement, vous prenez le mot de passe de l'utilisateur, appliquer une fonction de hachage si c'est la façon dont il est stocké sur le serveur, vous prenez un jeton défi du serveur et le sel de la valeur de mot de passe pour un nouveau hachage. Le serveur prendra sa valeur de du mot de passe et appliquer le défi. Si elles correspondent le mot de passe est correct et il n'y a aucun moyen pour quiconque de savoir ce que le mot de passe réel était. Cela nécessite javascript parce que le hachage doit être produit sur le côté client si cette approche est d'être efficace.
Une autre option, plus simple, est d'exiger HTTPs pour le journal dans la partie du site.
Comme David dit qu'il n'y a pas de chiffrement des mots de passe par défaut, utilisez https pour maintenir Crypter.
Pour garder votre utilisateur connecté sur la page de connexion, vérifiez leur mot de passe contre ce qui est stocké dans la base de données. Vous devez hachage vos mots de passe et stocker le mot de passe haché dans la base de données (voir crypte ). puis lorsque l'utilisateur se connecte dans, Hacher le mot de passe de l'utilisateur et le comparer au mot de passe haché dans la base de données. Quand ils correspondent, connexion, ne sinon connexion. Si votre db obtient jamais compromise, au moins ils ne sont pas les mots de passe.
Pour garder l'utilisateur connecté, après avoir vérifié le mot de passe, définir une variable dans la session, i.e.
$_SESSION[loggedin] = true.
Sur chaque demande, cochez cette variable de session, et s'il est vrai, permettre l'accès à la page, si elle est fausse, rediriger l'utilisateur vers la page de connexion avec un
header("Location: /login.php");
entrées de mot de passe ne sont pas chiffrés. Si vous ne souhaitez pas stocker les mots de passe en clair (comme retourné par la forme), vous devez exécuter l'une des nombreuses fonctions fournies par les deux php et mysql. consultez php md5 , SHA1 ou mysql Chiffrer pour stocker les mots de passe.
Ensuite, pour vérifier s'ils sont entrés dans le mot de passe pour vous connecter, vous pouvez utiliser la méthode de chiffrement sur leur entrée, récupérer le mot de passe haché de la base de données et de les comparer. (Aussi, regardez dans les mots de passe de salage )
Pour avoir une session de connexion persistante, vous pouvez utiliser $ _SESSION variable. ou setcookie ()
