मेरे पास मेरी वर्तमान वेबसाइट पर एक लॉगिन सेवा है और मैं क्या सोच रहा था - क्या कोई विशेष तरीका है जिसे आप सबसे सुरक्षित कह सकते हैं?PHP/MySQL सुरक्षित लॉगिन और सत्र
अनुमति दें मुझे मेरे प्रणाली थोड़ा बेहतर व्याख्या करने के लिए:
मैं वर्तमान में एक उपयोगकर्ता की मेज के साथ एक PHP MySQL डेटाबेस है। उपयोगकर्ता नाम और पासवर्ड दोनों VARCHAR के रूप में संग्रहीत हैं (मुझे पता है कि पासवर्ड के लिए सबसे अच्छा नहीं है)।
साइन अप फॉर्म साइड पर, मैं केवल ए-जेड 0-9 प्रविष्टि की अनुमति देकर और वर्णों की संख्या को सीमित करके पासवर्ड और उपयोगकर्ता नामों की पसंद को नियंत्रित करता हूं। लॉगिन प्रपत्र तरफ, मैं mysql_real_escape_string का उपयोग करके हमलों को रोकने और मैं AJAX के बजाय एक iframe पर पोस्ट का उपयोग करें।
मुझे लगता है कि मैं फॉर्म पक्ष से हमलों को रोकने के लिए कर सकता हूं, लेकिन डेटाबेस पक्ष से नहीं। मैं जानता हूँ कि आप डेटाबेस के लिए प्रवेश पर एन्क्रिप्ट करने के लिए पासवर्ड भंडारण के प्रकार बदल सकते हैं, लेकिन क्या मुझे समझ नहीं आता कि कैसे मैं तो यह एन्क्रिप्टेड स्ट्रिंग क्वेरी होता है।
मैंने जो बताया है उसे देखते हुए, अतिरिक्त सुरक्षा के संदर्भ में आप क्या सलाह देंगे और क्यों? हैकिंग और हमलों को रोकने के लिए आपके चुने हुए तरीके क्या हैं? क्या मैंने वर्णित किसी भी चमकदार सुरक्षा छेद को देखा है? शायद सबसे महत्वपूर्ण बात, क्या मैं यह देखते हुए कि मैं नहीं किया है वेब विकास खेल में समय हो गया और ज्यादा अनुभव नहीं है इन को दूर करने के क्या कर सकता है?
सबसे सुरक्षित तरीका एसएसएल + व्यक्तिगत प्रमाणपत्र है। हालांकि मुझे संदेह है कि आपकी साइट को वास्तव में सबसे सुरक्षित एक की आवश्यकता है। –
और उल्लेख करने के लिए एक और बात। कुछ बुद्धिमान ने कहा, सुरक्षा कुछ ऐसा नहीं है जिसे अभी जोड़ा जा सकता है। यह एक बात नहीं है, यह एक प्रक्रिया है। –
लेकिन किसी भी प्रक्रिया को परिचालन निर्देशों की एक श्रृंखला में तोड़ दिया जा सकता है। सिस्टम पूर्ण होने पर यह एक प्रक्रिया होगी। –