php会员系统有哪些安全功能

Question

正如标题所说，基于 php 的会员系统最常见的安全功能是什么。我知道一些：

• mysql注入
• 安全连接
• 加密密码和其他敏感数据。

还有什么？

Answer 1

身份验证！=授权是我想到的另一种方式。

Answer 2

可以在这里找到详细的攻击列表：
https://www.owasp.org/index.php/Category:攻击

一些方法：

• 滥用代码功能（错误编码）
• 数据结构攻击
• 嵌入恶意代码（XSS）
• 利用身份验证
• 注入
• 路径遍历攻击(include($_GET['file']))
• 协议操纵
• 资源耗尽 (DOS/DDOS)
• 资源操纵
• 嗅探攻击
• 欺骗 (COOKIES)

Answer 3

其他一些需要考虑的事情：

• 会话安全（会话变量如何设置？某人的会话 ID 会被盗吗？ 会话固定可能吗？）
• 您的表单是否受到XSS？
• 你们是否有任何机制来防止暴力攻击，例如在 X 次尝试失败后锁定 IP 地址？您是否需要跟踪谁登录了给定帐户？ （例如，如果您的网站仅由居住在美国的人运行，如果有人从东南亚的 IP 地址登录管理员帐户，您是否应该收到通知？）

Answer 4

最低密码要求是绝对必要的。另外，使用某种类型的验证码。

Answer 5

以下链接显示了一些重要的安全问题：

链接

Answer 6

不一定是安全功能，但系统的用户体验不应该令人困惑。大多数用户都见过uname/pword 登录表单，有些用户见过OAuth/OpenId。除此之外，你进入了一个需要确保你的意图明确的世界。

Answer 7

我列出了这里最常见的安全问题：流行的PHP CMS的历史安全缺陷？

它缺乏授权！=身份验证问题barfon回答，所有反垃圾邮件保护您应该有，而且我确定还有一些我现在想不到的其他事情。