Создание безопасного входа

Question

Я пытаюсь создать форму для входа и хочу узнать, что я пропустил или что-то пропустил. Обычно я так поступаю:

• Получите имя пользователя / пароль от пользователя формы и протестируйте его, чтобы убедиться, что он соответствует основным требованиям синтаксиса.
• Используйте Ajax для отправки имени пользователя и пароля в php, используя escape-строку для предотвращения SQL-инъекций
• как только я получаю пароль на php, я хэширую пароль и сравниваю его с базой данных, чтобы увидеть, есть ли совпадение. В случае совпадения я бы вернул URL на следующую страницу, установил имя пользователя в сеансе и создал переменную сеанса, чтобы указать, что я вошел в систему
• Как только я попадаю на следующую страницу, я запускаю функцию, чтобы посмотреть, установлена ​​ли переменная сеанса для входа в систему и будет ли она продолжена, иначе перенаправьте пользователя на страницу входа. Я не уверен, куда поместить этот код, чтобы проверить, вошел ли пользователь в систему или нет. Обычно я помещаю его за пределы документа, но он позволяет пользователю увидеть подсказку на странице, прежде чем они будут перенаправлены.

Answer 1

Вопрос лучше всего подходит для securitystackexchange, но вот несколько подсказок:

1) Вам нужно, чтобы все ваши запросы прошли через ssl.
2) ajax и javascript не имеют ничего общего с внедрением SQL. Вы должны использовать подготовленные операторы для запроса базы данных, чтобы избежать внедрения SQL.
3) экранирование html (если вы действительно ссылались на это, это нужно сделать перед выводом html на экран)
4) Вы должны защищать свои формы, включая форму входа против атак csrf. Вы можете сделать это с помощью одноразового номера.
6) После успешного входа в систему вы должны создать новый сеанс.