第一次为网页创建登录系统时,我一直在尝试了解安全性,但不确定我做得是否正确。
到目前为止,我已经存储了一个用户名/密码,密码用sha256和一个3个字符的salt进行了散列。如果用户名和密码是正确的,那么我会制作一个新的会话id,就像这个
session_regenerate_id ();
$_SESSION['valid'] = 1;
$_SESSION['userid'] = $userid;
在每一页我都检查
function isLoggedIn()
{
if(isset($_SESSION['valid']) && $_SESSION['valid'])
return true;
return false;
}
我用这个来检查正确的用户
$username = $_POST['username'];
$password = $_POST['password'];
//connect to the database here
connect();
//save username
$username = mysql_real_escape_string($username);
//query the database for the username provided
$query = "SELECT password, salt
FROM users
WHERE username = '$username';";
$result = mysql_query($query);
if(mysql_num_rows($result) < 1) //no such user exists
{
//show incorrect login message
}
//check the password is correct for the username found
$userData = mysql_fetch_array($result, MYSQL_ASSOC);
$hash = hash('sha256', $userData['salt'] . hash('sha256', $password) );
if($hash != $userData['password']) //incorrect password
{
//show incorrect login message
}
else
{
//setup a new session
validateUser();
//redirect to the main page
header('Location: main.php');
die();
如果为false,则会将它们发送回登录页面。这足够安全吗?
在主页上我也有html链接
<li><a href="main.php">Home page</a>
所以当使用这些链接时,我需要在主页上结束php脚本?
添加phpdev所说的内容。尽管它看起来足够安全,但我还是推荐一些东西。
当您想将用户发送到某个页面时,请确保脚本退出并完成执行,因为如果还有一些行,它们将被执行。举个例子:
if (!isLoggedIn()){
header('Location: login.php');
}
//It's wrong to assume that things are safe here
echo $secret_data;
因此,请确保在header()调用后添加exit();或die();。
另外,在散列时,请确保每个用户使用唯一的salt,因此您需要在users表中创建一个额外的列,以将salt存储在散列密码旁边。还强烈建议使用经过良好测试的哈希库,如PHPass。
如果您使用同一域在同一web服务器上运行不同的web服务,例如:mysite.com/my_super_awesome_app和mysite.com/my_not_very_awesome_app确保在$_SESSION中为变量名添加前缀(如$_SESSION['app1_valid']),或者使用session_set_cookie_params() 将会话cookie限制在特定路径上
是的,这对我来说很安全。只要确保在做任何事情之前调用session_start(),并小心设置$_SESSION['valid']的位置。请确保只有在您确认他们输入了正确的用户名和密码后才设置。
至于腌制,我建议每个用户使用一种独特的盐,大约有10个字符。然后使用crypt和blowfish算法(bcrypt)对结果进行散列。BCrypt的设计使得计算哈希的成本越来越高,如果有人窃取了你的密码哈希,这一点很重要。
不要忘记从登录表单转发HTTPS,否则这一切都是徒劳的。
对于一个基本的应用程序来说,它看起来还可以。你可以做的事情太多了。计时器。字典攻击。登录尝试会话。搜索SO
function is_customer_logged_in() {
if($_COOKIE['GC_CUST_LOGIN']==1 && $_SESSION["loggedIn"]=="1"){
return true;
}else{
return false;
}
}
$_SESSION["time"]=time();
setcookie("GC_CUST_LOGIN", 1, ".stackoverflow.com");
$_SESSION["loggedIn"]="1";
$_SESSION["loggedIn_Md5_Hash"]=md5(hash);
您还可以插入会话的哈希,如果登录则进行检查并添加数字,还可以在数据库检查后使用cookie和会话强制匹配。
密码安全需要考虑很多因素。不幸的是,sha-256仍然无法击败bcrypt或scrypt(它们实现了密钥拉伸、salts和可扩展的工作因子,以在硬件改进时提供帮助)。
我会通过openwall结账PHPass(http://www.openwall.com/phpass/)这是一个非常标准的bcrypt库,易于使用。
正如其他人所说,除非您的登录页面通过HTTPS进行安全保护,否则密码仍然可以被嗅探。
我喜欢你重新生成session_id。虽然在这种情况下,这可能无关紧要,但它有助于防止会话重播或会话固定攻击。
要使您的系统总体上更安全,还需要考虑其他一些事情:
- 密码策略
- 密码长度
- 数字+特殊字符
- 通行短语
- 如果你能确保单词不常见,可能会有更多的熵
- 登录尝试失败后禁止
- 添加双因素身份验证