PHP/MySQL安全登录和会话

Question

我有一个登录服务到我目前的网站，我想知道的是 - 是否有任何特定的方法，你可以称之为最安全？

让我解释一下我的系统好一点：

我现在有一个用户表中的PHP MySQL数据库。用户名和密码都存储为VARCHAR（不是我所知道的最好的密码）。

在注册表单方面，我通过仅允许a-Z 0-9条目并限制字符数来规定密码和用户名的选择。在登录表单一侧，我通过使用mysql_real_escape_string来停止攻击，并使用POST来代替AJAX的iFrame。

我觉得我正在尽我所能来防止来自Form侧的攻击，但不能从数据库端进行攻击。我知道你可以在进入数据库时​​改变密码存储的类型来进行加密，但是我不明白的是如何查询这个加密的字符串。

鉴于我所描述的，你会建议如何增加安全性，为什么？你选择什么方法来防止黑客攻击？你能看到我所描述的任何明显的安全漏洞吗？也许最重要的是，考虑到我从未参与过网络游戏开发并且没有太多经验，我该怎么做才能纠正这些问题？

（记住，我不会创建一个系统，以容纳机密或炎症数据）

Answer 1

首先，不要明文密码存储在数据库中。因此，注册新用户时，请将其密码输入为hash。 MD5最常用于此。我建议用这个盐。因此，对于存储：

$password = md5($yoursalt . $_POST['password']); 

现在，当用户想要登录，您再次在您的文章有自己的密码。现在制作和以前一样的散列，然后在数据库中搜索这个散列（用他们的用户名）。这样你就不会存储他们的实际密码。

Answer 2

将密码散列到MD5或SHA1是网络安全的重要组成部分。然后匹配密码的方法是首先使用提供的用户名从数据库中检索哈希密码，对用户提供的密码进行哈希处理，然后匹配两个哈希值。由于MD5和SHA1是单向哈希值，这意味着如果用户丢失了密码，则无法检索当前密码。新密码需要重新创建。你可以通过使用PHP mcrypt（）函数来解决这个问题。

您还应该允许在密码中使用特殊字符。这只会增加暴力攻击的复杂性。

您也可以在3次错误尝试后锁定一段时间的帐户，甚至在10次尝试后锁定IP地址。尽管后者属于“焦油坑”类别。只是让黑客更加困难一点。

Answer 3

生成密码时，我总是用一个用户特定的盐，所以我的“用户”表有两个字段“encrypted_salt”和“密码”

顶部和它的底部是我SHA1（encrypted_salt +“密码“）;

当生成encrypted_salt时，我会使用sha1（unqid（true））;它可以产生几乎100％的独特的盐，因为它使用时间以毫秒为单位，并有额外的熵（盐）。获得重复的可能性几乎为0。

所以：

$salt = sha1(unqid(true)); 
$password = sha1($_POST['password']); 

在数据库存储中：

$pw = sha1($salt.$password); or sha1($password.$salt); 

它并不真正的问题。

SHA1的美妙之处在于它总能生成40个字符的字符串。你可以越吃越好，特别是如果你可以为每个密码生成一个独特的盐。

Answer 4

就你的SQL而言，不要使用类似mysql_real_escape_string的字符串转换函数，它仍然可以允许在某些情况下发生注入攻击。使用参数化查询，从而确保数据库在所有情况下将所有用户提供的字符串视为数据，而不是SQL代码片段。

PHP中的MySQLi和PDO库都支持参数化查询。