安全登录教程 [英] Secure login tutorial

问题描述

您好，


我正在寻找一个社区网站的安全登录脚本...

（PHP， MySQL，会话，或者其他什么......）

我知道那里有很多脚本，但是没有一个真的好像

似乎是安全的，或者有其他的一种瑕疵（比如基于IP的登录等）。


为什么我在这里问，是因为那里有经验，而且我是

希望经验可以告诉我我最好的投篮是什么。我知道我会很可能不得不做一些事情......

我不是PHP-er，但我有一些PHP经验...


非常感谢。


Knal。

解决方案

-----开始PGP签名消息-----

哈希：SHA1


knal schrieb：

你好，


我正在寻找一个社区网站的安全登录脚本......

（PHP，MySQL，会话，或者别的什么......）

我知道那里有很多脚本，但是没有一个真的

似乎安全，或有其他类型的缺陷（如基于IP的登录等）。

在这种情况下你对安全的理解是什么？

> ...


非常感谢。

问候

Stefan

Knal。

----- BEGIN PGP SIGNATURE --- -

版本：GnuPG v1.4.2.1（MingW32）

iD8DBQFFnkWGyeCLzp / JKjARArezAJwLX2nEhqJ04h7281UHY2UuffN4TwCdH3xL

hXdROeuxauPS + htlXBNEUcs =

= C5SZ

----- END PGP SIGNATURE -----

我想要留出不受欢迎的客人。已注册

（存储在MySQL数据库中）的会员可以使用usern / passw登录。

除此之外还存储管理员级别，告知网站有多少

用户拥有的权利。


我知道我可以通过会话管理登录，但我只读过会话

不安全。 （用户甚至可以手动强制他们自己的会话ID。）

我真的不知道如何用安全来解释我的意思。

谢谢。

1月5日下午1:33，Stefan Rybacki< stefan.ryba ... @ gmx.netwrote：

-----开始PGP签名消息-----

哈希：SHA1


knal schrieb：
< blockquote class =post_quotes>
你好，

我正在寻找一个安全的登录脚本社区网站...

（PHP，MySQL，会话，或者别的什么......）

我知道那里有很多脚本，但没有一个他们真的很好看，或者有其他类型的缺陷（比如基于IP的登录等）。

什么是在这种情况下你对安全的理解是什么？

...

非常感谢。退货

Stefan

Knal。 ----- BEGIN PGP SIGNATURE -----

版本：GnuPG v1.4.2.1（MingW32）


iD8DBQFFnkWGyeCLzp / JKjARArezAJwLX2nEhqJ04h7281UHY2UuffN4TwCdH3xL

hXdROeuxauPS + htlXBNEUcs =

= C5SZ

----- END PGP SIGNATURE -----

knal写道：

你好，


我正在为一个社区网站寻找一个安全的登录脚本...

（PHP，MySQL，会话，或者其他东西......）

我知道那里有很多脚本，但它们中没有一个真的好看，或者有其他类型的缺陷（比如基于IP的登录等）。


为什么我在这里问，是因为那里有经验，而且我希望经验可以告诉我我最好的拍摄是什么。我知道我会很可能不得不做一些事情......

我不是PHP-er，但我有一些PHP经验...


非常感谢。


Knal。

定义''安全登录''更好。

你做什么想要保证？


仅举几例：

1）networktraffic-eavesdropper：

你是否害怕有人在听互联网流量并看到

用户名/密码？

如果是这样，请使用https而不是http。


2）你是害怕有人去限制页面？

使用会话，或使用目录访问（例如.htaccess）


3）你害怕有人可以偷一个其他人的会话？

确保你了解你的PHP安装如何处理会话。

例如:(默认）它是将文件中的会话存储在一个共同的文件中吗？ >
临时目录？

然后想知道同一台机器（服务器）上的其他人是否可以看到它们

并访问它们。

（PHP会话文件与sessionid一起存储在文件名中，所以任何人

谁可以获得al的列表l会话目录中的文件，可以窃取所有

会话。


虽然会话非常有用，但它们也可能构成可能的

安全风险如果你不明白他们是如何工作的话。

你越了解会话的工作方式，你就越能想到自己如何打破它们。

Knowlegde =这里的电力。


您关心安全性很好，但如果您真的想要更多地保护您的

网站，那么您必须深入了解细节并抓住这个问题。

这不是火箭科学，但可能需要一些时间来理解所涉及的所有

的东西。还有很多测试。

例如：在* nix服务器上，您必须了解目录和文件的所有权限（实际上是

最多）权限位判断

会话文件是否安全存储。


一件肯定不会给你带来高安全性的事情就是实现一些

脚本有人在这里向你投掷，或者你在网上找到，没有

了解安全意味着什么，例如网络交通，会话等。

那里。 ： - /


抱歉老师般的回答，我只是隔壁的孩子，但是我已经在那里（黑客网站）。祝你好运。


问候，

Erwin Moller

Hi there,

I''m looking for a secure login script for a sort-of-community site...
(PHP, MySQL, sessions, or maybe something else ... )
I know there are a lot of scripts out there, but none of them really
seem secure, or have other kind of flaws (like IP based login etc.).

Why i''m asking here, is because there''s experience out there, and i
hope experience can tell me what my best shot is. I''m aware that i will
very probably have to do some consessions ...
I''m not a PHP-er, but i have some PHP experience ...

Thanks a lot.

Knal.

解决方案

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

knal schrieb:

Hi there,

I''m looking for a secure login script for a sort-of-community site...
(PHP, MySQL, sessions, or maybe something else ... )
I know there are a lot of scripts out there, but none of them really
seem secure, or have other kind of flaws (like IP based login etc.).

Hi,

What''s your understanding of secure in this case?

>...

Thanks a lot.

Regards
Stefan

Knal.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.1 (MingW32)

iD8DBQFFnkWGyeCLzp/JKjARArezAJwLX2nEhqJ04h7281UHY2UuffN4TwCdH3xL
hXdROeUXauPS+htlXBNEUcs=
=C5SZ
-----END PGP SIGNATURE-----

I''d like to keep out unwanted guests. Members that have registered
(stored in MySQL DB) are allowed to login with usern/passw.
Along with that an admin-level is stored wich tells the site how much
rights the user has.

I know i can manage the login via sessions, but i''ve read only sessions
isn''t secure. (Users can even "manually" force their own Session id).
I don''t really else know how to explain what i mean with "secure".

Thanks.
On Jan 5, 1:33 pm, Stefan Rybacki <stefan.ryba...@gmx.netwrote:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

knal schrieb:

Hi there,

I''m looking for a secure login script for a sort-of-community site...
(PHP, MySQL, sessions, or maybe something else ... )
I know there are a lot of scripts out there, but none of them really
seem secure, or have other kind of flaws (like IP based login etc.).Hi,

What''s your understanding of secure in this case?

...

Thanks a lot.Regards

Stefan

Knal.-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.4.2.1 (MingW32)

iD8DBQFFnkWGyeCLzp/JKjARArezAJwLX2nEhqJ04h7281UHY2UuffN4TwCdH3xL
hXdROeUXauPS+htlXBNEUcs=
=C5SZ
-----END PGP SIGNATURE-----

knal wrote:

Hi there,

I''m looking for a secure login script for a sort-of-community site...
(PHP, MySQL, sessions, or maybe something else ... )
I know there are a lot of scripts out there, but none of them really
seem secure, or have other kind of flaws (like IP based login etc.).

Why i''m asking here, is because there''s experience out there, and i
hope experience can tell me what my best shot is. I''m aware that i will
very probably have to do some consessions ...
I''m not a PHP-er, but i have some PHP experience ...

Thanks a lot.

Knal.

Hi,

Define ''secure login'' better.
What do you want to secure?

To name a few:
1)networktraffic-eavesdropper:
Are you afraid somebody is listening to the internettraffic and sees the
username/password?
If so, use https instead of http.

2) Are you afraid somebody goes to restricted pages?
Use a session, or use directory-access (eg .htaccess)

3) Are you afraid somebody can steal a session of somebody else?
make sure you understand HOW you PHP installation handles session.
Eg: (default) Is it storing the sessions in files in a common
temp-directory?
Then wonder if anybody else on the same machine (the server) can see them
and access them.
(PHP sessionfiles are stored with the sessionid in the filename, so anybody
who can get a listing of all files in the sessiondirectory, can steal all
sessions).

While sessions are incredible usefull, they also pose a possible
securityrisk if you do not understand how they work.
The better you understand how sessions work, the better you can think up how
to break them yourself.
Knowlegde = power here.

It is good you care about security, but if you seriously want to secure your
site more, you MUST dive into the details and get a grib on the matter.
It is not rocketscience, but it may take you some time to understand all the
stuff involved. And a lot of testing.
eg: On *nix servers you must understand the meaning of all (well, actually
most) permission-bits for the directory and the files to judge if the
sessionfile are ''safely'' stored.

One thing that will surely NOT give you high security is implementing some
script somebody in here throws at you, or you find on the net, without
understanding what security means for eg networktraffic, session, etc..
Been there. :-/

Sorry for the long teacherlike answer, I am just the kid next door, but I
have been there (hacked sites).

Good luck.

Regards,
Erwin Moller

这篇关于安全登录教程的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！