在网页中使用登录功能alty i时,验证输入数据的最佳做法是什么?
我说的不是大规模的用户,而是一个单一的管理员角色。该网页没有使用任何数据库,因此我不想只包含一个帐户的趣味性。
目前,我只使用一个带有输入数据和硬编码密码的If语句,这在某种程度上感觉不安全,但与此同时,用户只要不到达服务器就看不到php代码,或者我错了吗?
if($password == 'myPassword123')
顺便问一下,有没有任何方法可以从服务器下载实际的.php文件(从用户的角度来看)。
在正常实践中,如果服务器上没有任何错误或配置错误,就无法下载php文件的副本。
话虽如此,您可能只应该存储密码的哈希值,而不是纯文本版本http://php.net/manual/en/faq.passwords.php
哈希密码!永远不要以明文形式存储。
为了防止错误配置泄露您的密码,请将密码存储在web根目录之外,这样,如果PHP泄露您的代码,那么客户端/攻击者就无法访问实际的哈希/文件。下面是一个简单的例子,在一个简单用户函数中使用crypt()函数来检查通过
<?php
function check_pass($password){
$chkpass = file_get_contents(dirname(__FILE__).'/../path_outside/webroot/adminpass.txt');
if(crypt($password, $chkpass) == $chkpass){
return true;
}else{
return false;
}
}
/* The file adminpass.txt contains the hash
$1$MH0.l.1.$aNx9btlqPfGpkAxK4Bdym.
which is mypassword in plaintext */
if (check_pass($_POST['password'])) {
echo "ok!";
}else{
echo "fail!";
}
?>
用户访问PHP代码的唯一方法是:
- 他们侵入了你的服务器,在这一点上,他们找到你的管理员密码是你最不担心的
- 服务器错误配置将PHP代码转储为纯文本(几年前Facebook就发生过这种情况)
我会创建一个动态生成的字符串,并将其与我的密码进行and运算,可能还会做一些事情,比如捕获尝试次数。锁定用户直到会话过期。:D
<?php //login.php
$_SESSION['xrf'] = hash('sha512');
$myPassword = 'password';
?>
<input type="hidden" name="_xrf_" />
<input type="password" name="password" />
<?php
$password = $_POST['password'];
if(isset($password) && $_SESSION['attempt'] != 3):
$xrf = $_POST['_xrf_'];
if($password === $myPassword && $_SESSION['xrf'] === $xrf):
echo 'Hell Yeah';
else:
header("Cache-Control: private, must-revalidate, max-age=0");
header("Pragma: no-cache");
header("Expires: Sat, 27 Jan 1997 05:00:00 GMT");
header("Location:login.php");
endif;
else:
$_SESSION['attempt'] += 1;
endif;
?>