我有一个登录服务到我目前的网站,我想知道的是 - 是否有任何特定的方法,你可以称之为最安全?PHP/MySQL安全登录和会话
让我解释一下我的系统好一点:
我现在有一个用户表中的PHP MySQL数据库。用户名和密码都存储为VARCHAR(不是我所知道的最好的密码)。
在注册表单方面,我通过仅允许a-Z 0-9条目并限制字符数来规定密码和用户名的选择。在登录表单一侧,我通过使用mysql_real_escape_string来停止攻击,并使用POST来代替AJAX的iFrame。
我觉得我正在尽我所能来防止来自Form侧的攻击,但不能从数据库端进行攻击。我知道你可以在进入数据库时改变密码存储的类型来进行加密,但是我不明白的是如何查询这个加密的字符串。
鉴于我所描述的,你会建议如何增加安全性,为什么?你选择什么方法来防止黑客攻击?你能看到我所描述的任何明显的安全漏洞吗?也许最重要的是,考虑到我从未参与过网络游戏开发并且没有太多经验,我该怎么做才能纠正这些问题?
(记住,我不会创建一个系统,以容纳机密或炎症数据)
最安全的方式是SSL +个人证书。虽然我怀疑你的网站确实需要最安全的网站。 – 2010-08-20 08:59:33
另一件要提及的事情。一个聪明的SOer说,安全不是可以被添加的东西。这不是一件事,它是一个过程。 – 2010-08-20 09:02:40
但是,即使是任何过程都可以细分为一系列操作说明。这将是系统完成时的一个过程。 – 2010-08-20 09:11:14