PHP аутентификация

Question

В настоящее время моя аутентификация выглядит следующим образом:

Пользователь вводит комбинацию имени пользователя и пароля. Отправляется на сервер, имя пользователя и пароль засоляются и хэшируются (md5) и проверяются в базе данных.Если все правильно и пользователь указал, то устанавливается cookie продолжительностью в месяц.

Если пользователь не указывает, что нужно установить cookie, они автоматически выходят из системы после пяти минут бездействия.

Мой вопрос заключается просто в том, нужно ли мне и как сделать это более безопасным.Я довольно свободно говорю на PHP, но я не так хорошо разбираюсь в безопасности.Любая помощь, указатели, ведет и общая помощь будет принята.

Спасибо.:)

Answer 1

Просто убедитесь, что вы удаляете косые черты из имени пользователя и пароля, чтобы избежать SQL-инъекций с mysql_escape_real_string, и это должно быть всей необходимой вам защитой.

Answer 2

Похоже, вы пытаетесь изобрести новую аутентификацию. Не делай - следуй советам Амира.

Но если вы хотите настроить крипто любым способом, вот идея с Javascript:

Соль не секрет. Отправьте его клиенту вместе с nonce - еще одним случайным значением достаточной энтропии.

Клиент отправляет обратно nonce + hash(timestamp + hash(salt + password)). Сервер проверяет, является ли nonce последним.

Это будет противостоять любой повторной атаке.

(Под + я обозначаю конкатенацию.)

Answer 3

Вот несколько идей:

1. Наиболее важным является использование SSL. Пароль отправляется открытым текстом что означает, что любой может видеть это.
2. Какой файл cookie вы устанавливаете? Могу ли я скопировать этот файл cookie, а затем авторизован как ты? Может подумать создать случайный токен и установить, что
3. Вы защищаете от креста? подделка сайтов и кросс-сайт скриптовый

Это все, что я могу придумать.