好了,现在我很困惑。我一直从库用户的SO用户那里获得建议,以便与codeigniter进行认证。我已经探索了dx_auth和simpleloginsecure(我认为我会使用后者,因为它的安全哈希和小占用空间)。PHP安全登录 - 客户端选项?
但是,如何在客户端哈希密码?我在图书馆的文件中没有看到任何提及。不管这些库有多安全,是否需要进行一些客户端加密(js)以便密码永远不会以纯文本形式发布?还是我失去了一些东西,这些库在某种程度上确实涉及这个......
感谢
更新:下面几个答案建议SSL。不过,我的印象是这些php(codeigniter插件)库取代了SSL(我完全误解了)?如果我误解了,有没有一种安全的方式来完成这个没有SSL? (在过去,我已经使用JavaScript md5哈希函数在发布密码之前加密密码......但我希望有更安全的东西)。
更新2好的 - 所以似乎共识是我应该使用SSL。如果是这种情况,那么所有那些花哨的PHP认证库都会执行各种散列。如果SSL负责从客户端到服务器的加密,那么使用这些库(dx_auth等,除了可能添加角色功能)还有什么意义?仅仅是为了确保数据在服务器/数据库上的安全存储? (我会比较我正在使用的项目上的数据的敏感性水平与没有信用卡或任何过于敏感,只是用户名,密码等的项目上的数据的敏感性水平)
呃......马克,具有散不允许,除非你允许的话,我不会建议别人来访问你的网站。 – 2009-07-23 00:52:15