您好,我想建立一个漂亮的登录系统,我正在考虑这些步骤,希望您能告诉我这是否真的对黑客和破解者有效:)
1-每次加载页面时,我都会在我的登录表单中生成这些SESSION变量
SESSION1 = random()
SESSION2 = random()
SESSION3 = random()
SESSION4 = time()
SESSIONHASHKEY = array(){[SESSION1 digits]};
SESSIONRESULT = hash(Concatenation of caracters at position situated inside the SESSIONHASHKEY array from the SESSION2);
Set the name of the button of the login to the SESSION3 number)
2-在我的登录表单(用户输入用户名和密码)和我的身份验证页面(我的代码将验证用户名和密码是否正确)之间放置一个名为auth.php的文件
if !isset SESSION1 redirect login page
if !isset SESSION2 redirect login page
if !isset SESSION3 redirect login page
if !isset SESSION4 redirect login page
if SESSION1 digits array != SESSIONHASHKEY redirect loginpage
if MD5(concatenation of caracters at position situated inside the SESSIONHASHKEY) != SESSIONRESULT redirect loginpage
if !isset loginbutton_{SHA256(MD5(SHA256(MD5(SHA256(SESSION3)))))} redirect login page
if (time() - SESSION4) >10 redirect loginpage
如果测试成功通过,我将重定向到在会话中传递用户名和密码的身份验证页面
这是我的方案,所以我希望你能帮助我定义看起来像进程的安全级别:)
据
我所知,您不会从引入中介页面的所有增加的复杂性中受益。除此之外,您正在散列哈希哈希的哈希(显着增加重复哈希的可能性)并显着增加登录的处理时间。
除非你有特定的理由去尝试做任何不必要的复杂事情,否则不要试图重新发明轮子。在网络上可以找到许多比这种方法简单且安全(如果不是更多的话)的方法。
本文提供了一些构建安全登录的良好做法:PHP 安全登录提示和技巧