PHP 网站用户身份验证的最佳实践？

发布于 2024-11-05 02:06:16 字数 518 浏览 0 评论 0 原文

我用非常简单的 php 代码构建了几个网站，到目前为止一切顺利，但我碰巧现在担心主题“安全”我想知道在 PHP 中创建登录/身份验证过程的最佳方法是什么，

这就是我的方法目前所做的：

在注册过程中，用户提交电子邮件和密码密码将作为 md5 字符串存储在 mysql 中，因此除了用户之外的任何人都知道它。

当用户登录时，

SELECT * FROM usertable WHERE email = $emailsubmitted AND pass = md5($passsubmitted)

如果结果数组的大小大于零，则意味着用户存在，

因此我设置

session_start(); 
$_SESSION['logged'] = 'true';
$_SESSION[userid] = userid;

为用户浏览的每个页面，我将执行检查以查看会话变量是否存在。

底线：我想知道这是否足够安全以及如何改进。

原文

i built several sites with very simple code of php and so far so good, but i happens that I'm now worried about topic "security" i wonder what is the best way to create a login/authentication process in PHP

this is what I currently do:

during registration the user submit an email and a password
the password will be stored, in mysql, as an md5 string, so anybody but the user knows it.

when the user login, i do

SELECT * FROM usertable WHERE email = $emailsubmitted AND pass = md5($passsubmitted)

then if the sizeof the resulting array is more then zero, it means the user exists

so I set

session_start(); 
$_SESSION['logged'] = 'true';
$_SESSION[userid] = userid;

so for everypage the user browse i'll perform a check to see if the session variable exists.

BOTTOM LINE: I wonder if this is safe enough and how it can be improved.

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

不寐倦长更 2024-11-12 02:06:16

您的 SQL 语句存在注入漏洞。（这是假设“已提交”后缀意味着该变量尚未对其进行任何过滤。）如果恶意用户要提交 '[电子邮件受保护]' AND 1=1;-- 作为电子邮件地址，他们可以使用“[电子邮件受保护]"，无论密码如何。我建议保护 SQL 的输入和/或使用存储过程。我还建议仅加载您绝对需要的列；它将提高查询速度并允许更少的状态在数据库外部暂停。

此外，对密码进行加盐处理。如果有人要从数据库中检索用户的数据，密码将很容易成为暴力破解和字典攻击（如彩虹表）的目标。如果您真的很偏执，请考虑从 MD5 切换到 SHA 或其他哈希函数。

确保在 php.ini 文件中设置了哪些变量，并将它们设置为您期望的值。根据这些设置，对 $_SESSION 的数组分配也是不安全的。一些旧的 Web 应用程序利用 PHP“功能”，使查询字符串中的变量成为 Web 应用程序中的全局变量，这意味着当执行 $_SESSION['userid'] = $userid; 时，如果恶意用户将 ?userid=1 附加到其查询字符串中，他们将成为用户 ID 为 1 的用户，这通常是第一个用户（或管理员）。