Question

我对我目前的网站有志于事,我很想知道——你是否可以称之为安全部?

请允许我更好地解释我的制度:

目前,我有一个PHP MySQL数据库,有一个用户表。用户名和密码都储存在VARCHAR(并非我知道的密码的最佳版本)。

在签署表格方面,我只允许Z 0-9进入密码和用户名称的选择,并限制特性数目。在标志方面,我停止攻击,使用了我的ql_real_e爱护者,我使用POST去了IFrame而不是AJAX。

我感到,我正在做些什么来防止形式方面的攻击,而不是数据库方面的攻击。我知道你可以改变密码储存的类型,以便在输入数据库时加以加密,但我不理解的是,我会怎样质疑这种加密的扼杀。

鉴于我所说的话,你在增加安全方面会有什么建议? 贵国选择了哪些方法防止 ha和攻击? 在我所说的话中,你能看到任何明显的安全漏洞? 也许最重要的是,鉴于我没有长期参加网络发展游戏,没有多少经验,我可以做些什么纠正?

(铭记Im没有建立保密或煽动性数据存放系统)

Answer 1

首先,在你的数据库中不储存简单的文字密码。因此,在登记新用户时,将密码插入。为此,最常用的是MD5。我建议使用一种盐类。储存:

$password = md5($yoursalt . $_POST[ password ]);

现在,当用户希望登录时,你在您的岗位上再次有密码。现在该数据库(用户名称)与以前相同,并搜寻该散列。这样,你就不储存其实际密码。

Answer 2

了解MD5或SHA1的密码是网络安全的一个重要部分。然后与密码相匹配的方法是首先利用所提供用户名称检索亚洲开发银行的过时密码,让用户提供密码,然后与两轮相匹配。由于MD5和SHA1是一种方式,的确意味着如果用户丢失,你就无法检索目前的密码。新的密码需要重新编号。可以通过使用PHPsm加密功能来做到这一点。

您还应允许在密码中具有特殊性。这只会使部队攻击更加复杂。

在3个错误的磨擦之后,你还可以在一段时期内锁定一个账户,甚至可以在10个工厂之后锁定一个IP地址。虽然后来属于tar类。仅仅这样,黑客很难做事。

Answer 3

在生成密码时,我总是使用一种特定的盐类,因此,我的用户表有两个领域被加密为盐类和密码。

底线是I sha1(加密-salt + 密码);

产生被加密的盐类时,将使用沙1(unqid(true));其中产生几乎100%的独特盐类,因为它用时间用外围的外围(盐类)的微秒。复制的可能性几乎是零。

因此:

$salt = sha1(unqid(true));
$password = sha1($_POST[ password ]);

储存在亚洲开发银行:

$pw = sha1($salt.$password); or sha1($password.$salt);

确实如此。

SHA1的美丽之处是,它总是会产生40个特征。越是,你越能更好地适应,特别是如果你能为每个密码产生独特的盐类。

Answer 4

就贵方而言,不要像我sql_real_e爱护者一样,使用一种扼杀性功能,这种功能仍然允许在某些情况下发生注射。使用参数的查询,从而确保数据库根据“无”情况将所有用户提供方位作为数据处理,而且可能不作为“标准”碎片处理。

公共卫生和社会福利部的MySQLi和PDO图书馆都支持参数的查询。

友情链接