2015-10-04 186 views
1

我想创建一个认证系统,允许用户登录到网站的安全区域。PHP安全会话和用户登录

我一直在做一些阅读,并已决定从

https://crackstation.net/hashing-security.htm

我也想利用这里的PHP类加密会话数据散列和盐使用提供的PHP类

http://www.zimuel.it/encrypt-php-session-data/

https://github.com/ezimuel/PHP-Secure-Session

我将使用PDO和消毒我的输出。基本SSL将在登录表单上并且CAPCHA's

我想知道如果他们是其他任何人都可以推荐来保护会话和网站的安全。

安全领域将是一个PHP的前端到数据库(CRM

在此先感谢

+0

你为什么想要加密会话数据? (并不是说你不应该这样做,但我觉得你正在考虑这样做,因为你已经看到了,而不是理解你为什么要这样做。) – Eborbob

回答

2

The author of the CrackStation article是我的好朋友,所以让我提供一点历史背景:这是写在password_hash()password_verify()之前写在PHP 5.5。这意味着你应该使用PHP提供给你的东西。 (如果您使用的是旧版本的PHP,请升级。)顺便提一句,PHP 5.5也提供hash_pbkdf2(),但hash_equals()直到5.6才会到达。

幸运的是,我确实有一篇博客文章详细地讨论了PHP session security