Создание веб-страницы с учетными записями пользователей, что мне нужно иметь в виду?

Question

Я пытаюсь написать сайт, на котором есть учетные записи пользователей.Там не так много важной информации, кроме пароля и адреса электронной почты.Но я не очень понимаю, что я делаю;Я как бы хожу по ходу дела.Что я должен иметь в виду в отношении безопасности или других важных деталей?

Answer 1

Вы должны:

• шифрование конфиденциальных данных
• избегать:
  • избегать инъекций sql
  • Захват сеанса
  • Фиксация сессии

Рекомендуемое чтение:

Руководство по безопасности PHP

Answer 2

Сарфраз Ахмед привел несколько хороших ресурсов для чтения. Вы также можете использовать класс PHP для аутентификации пользователей, их много. Я сам создал проект под названием userFlex на sourceForge http://uflex.sourceforge.net

userFlex имеет приличную документацию и делает больше, чем просто логин пользователей; он выполняет регистрацию и проверку полей, сброс пароля, коды подтверждения для регистрации, обработку сессий и многое другое, например, автологин.

Опять же, я просто выкладываю userFlex в качестве примера, вы также можете посмотреть http://www.phpclasses.org/browse/file/5269.html или множество других хороших классов в PHPclasses.org .

Answer 3

Используйте JanRain Engage (ранее rpxnow.com) для аутентификации.Их решение позволяет людям использовать свои существующие учетные данные от Google, Yahoo, Microsoft, Facebook и других для входа на ваш сайт.Многие из этих провайдеров предоставят действительный OpenID и часто действительный адрес электронной почты как часть процесса аутентификации.

Если вы используете JanRain, вам нужно только сохранить адрес электронной почты или OpenID для пользователя, а вам не нужно хранить пароли или хеши паролей .Кроме того, вам не нужно реализовывать какие-либо функции сброса пароля или «забыли мой пароль».Кроме того, ваша функциональность регистрации пользователей может быть намного меньше, потому что вы запускаете ее с действительного адреса электронной почты или OpenID, предоставленного ее владельцем.

Связь между вашим приложением и JanRain аутентифицирована и зашифрована, так что все это хорошо и безопасно.

Answer 4

Вы ДОЛЖНЫ использовать функцию php MD5 для паролей.Простой способ обеспечить это.Также убедитесь, что вы используете strip_tags в php, чтобы кто-то не мог выполнять команды в ваших полях ввода.Поскольку нет никаких чувствительных данных, я не думаю, что вам нужно что-то шифровать.Просто убедитесь, что система входа в систему идеальна, и у пользователя нет другого способа доступа к данным без входа в систему.

Shud достаточно для базового сценария входа в систему ..