Mantenimento di un database sicuro di login e informazioni utente?
https://stackoverflow.com/questions/3328000
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio avere un modulo di accesso su un sito web di beneficenza che sto costruendo (è per un amico, e sto imparando in giro), e voglio sapere quali lingue / software dovrei imparare a creare database per l'utenteLogin e informazioni?Nota: deve essere sicuro e relativamente semplice da imparare per qualcuno con esperienza di programmazione moderata.
Aggiornamento: capisco che CMSS offre buoni strumenti per gli accessi ecc. Ma voglio fare questo tutto da solo.
Soluzione
La cosa più semplice che puoi fare è hash e applicare un sale alle tue password prima di inserirle nel database. "The Wicked Flea" ha una buona risposta in un'altra domanda qui .
Hai pensato di afferrare un CMS fuori dallo scaffale? La maggior parte dei CMS decente dovrebbe contenere tutta la funzionalità necessaria per un semplice sito web di beneficenza. Ti darebbe anche una soluzione solida al problema del modulo di accesso.
Modifica
come per quale lingua usare. Non è molto importante fintanto che ti senti a tuo agio e disposto a mettere il tempo e lo sforzo. Mostra nel tuo profilo che stai cercando di imparare PHP. Sembra scrivere un modulo di accesso in PHP sarebbe un bel punto di partenza. Per quanto riguarda un back-end del database. Ancora una volta, non importa davvero. Basta per favore non utilizzare MS Access. La maggior parte degli sviluppatori PHP (assumendo) sembra usare MySQL poiché è solitamente ciò che è incluso con un host Web PHP.
A proposito di sicurezza, hashing e aggiungere un sale alla tua password è la cosa più semplice che puoi fare. Potresti fare qualcosa del genere:
- .
- User clicks link link
- Avvia il modulo di iscrizione usando SSL
- Una volta che l'utente fa clic sul pulsante Invia
- password hash. Aggiungere sale Memorizzare nel database. Aggiungere un sale alla tua password hashed impedirà attaccato dall'utilizzo di un Rainbow Table a Brute Force le tue password . Dai un'occhiata qui per le funzioni che si prendono cura delle password di hashing. Potresti anche forzare gli utenti a creare una password con regole specifiche. Come, che richiedono che tutte le password siano maggiori di 6 caratteri, almeno un numero, ecc ...
Una volta che l'utente deve accedere, puoi fare qualcosa di simile a:
- .
- Ottieni il nome utente e sanizzerlo. Ricordati di non fidarti di non fidarti mai dell'ingresso degli utenti. Non importa se Dio stesso vuole un account sul tuo sito web.
- Escape la password per garantire che le persone senza un account ottengano accesso tramite Iniezione SQL . Puoi farlo usando PHP mysql_real_escape_string funzione.
- Una volta tutto in posizione è possibile interrogare il tuo database per vedere se ci sono delle righe restituite.
Infine, non inviare mai il tuo utente la loro password in testo normale. Se l'utente dimentica la loro password, consentono semplicemente loro di creare una nuova password. Puoi farlo inviando all'utente un collegamento nella loro e-mail che darà loro la possibilità di farlo.
Onestamente, la tua migliore scommessa è probabilmente quella di completare questa attività e post ritorno (nuova domanda) su così con il tuo codice. Da lì possiamo analizzarlo e prenderlo da lì.
Qualcosa lungo quelle linee dovrebbe soddisfare le tue esigenze.
