Création d'une page Web avec des comptes d'utilisateurs, que dois-je garder à l'esprit?
https://stackoverflow.com/questions/3076993
-
28-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je suis en train d'écrire un site Web qui a des comptes d'utilisateurs. Il n'y a pas beaucoup d'informations sensibles autres que le mot de passe et l'adresse e-mail. Mais je ne comprends pas vraiment ce que je fais; Je suis une sorte de piratage le long que je vais. Est-ce que je devrais gardant à l'esprit en ce qui concerne la sécurité ou d'autres détails importants?
La solution
Vous devez:
- chiffrer les données sensibles
- éviter:
- éviter l'injection sql
- session hijacking
- session fixation
Lecture recommandée:
Autres conseils
Sarfraz Ahmed a quelques bonnes ressources pour la lecture. Vous pouvez également utiliser une classe PHP pour l'authentification des utilisateurs, il y a beaucoup. Je l'ai moi-même mis en place un projet appelé userFlex sur SourceForge http://uflex.sourceforge.net
userFlex a une documentation correcte et il fait plus que les utilisateurs de connexion seulement; il fait l'enregistrement et la validation sur le terrain, remet à zéro les mots de passe, codes de confirmation pour les inscriptions, les séances de poignées et plus comme autologin.
Encore une fois im juste de mettre en place userFlex à titre d'exemple, vous pouvez aussi regarder dans http: //www.phpclasses.org/browse/file/5269.html ou bien d'autres bonnes classes dans PHPclasses.org .
Utilisez JanRain Engagez (anciennement rpxnow.com) pour l'authentification. Leur solution permet aux gens d'utiliser leurs identifiants existants de Google, Yahoo, Microsoft, Facebook et d'autres pour se connecter à votre site. Un grand nombre de ces fournisseurs donnera un OpenID valide et souvent une adresse e-mail valide comme une partie du processus d'authentification.
Si vous utilisez JanRain, alors vous suffit de stocker l'adresse e-mail ou pour un utilisateur OpenID et vous n'avez pas aux mots de passe de magasin ou hashs . En outre, vous ne devez pas mettre en œuvre toutes les fonctionnalités de réinitialisation de mot de passe ou « oublié mon mot de passe ». De plus, votre fonctionnalité d'enregistrement des utilisateurs peut être beaucoup plus petit parce que vous commencez avec une adresse e-mail valide ou fourni par son OpenID propriétaire.
La communication entre votre application et JanRain est authentifié et chiffré, il est donc tout agréable et sécurisé.
Vous devez utiliser la fonction php MD5 pour les mots de passe. Une façon simple de le fixer. Assurez-vous également que vous utilisez strip_tags en php afin que quelqu'un ne peut pas exécuter des commandes dans vos boîtes d'entrée. Comme il n'y a pas de données Sensetive je ne pense pas que vous avez besoin de quoi que ce soit Encrypt. Assurez-vous que le système de connexion est parfaite et l'utilisateur n'a pas d'autre moyen d'accéder à des données sans vous connecter ..
Shud pour un script suffisent de connexion de base ..
