Некоторое время назад я создал эту веб-страницу на основе LAMP. В то время я написал свою собственную систему аутентификации пользователей и контроля доступа. Он проверяет, зарегистрирован ли пользователь с правильным паролем, и имеет ли он/ей правильный уровень доступа для доступа к данной странице. Информация о состоянии обрабатывается через сеансы PHP, тогда как имена пользователей, соленые, хэшированные пароли и пользовательский уровень хранятся в задней части MySQL. Все входные данные пользователя дезинфицированы и т. Д. Пользователи должны получить доступ к сайту со SSL.Аутентификация/Контроль доступа в PHP
Проблема в том, что я начинаю вторгаться в себя и становлюсь параноиком по поводу безопасности. Поэтому я ищу способы улучшить его.
Можете ли вы дать мне предложения для:
- некоторых полных списков тестов безопасности я мог бы реализовать и запустить против него
- лучших практик для реализации такого рода системы
Есть ли надежную фреймворк с открытым исходным кодом или набор библиотек, который вы могли бы порекомендовать вместо домашнего? Обычная мудрость заключается в том, что обычно лучше принимать зрелую, проверенную систему, чем писать свои собственные с нуля. Чтобы вы посоветовали?
Не могли бы вы рассказать о 'REGISTER_GLOBALS'? Я заинтересован в том, что он делает и как это может поставить под угрозу безопасность. – casraf
Читайте здесь: http://php.net/manual/en/security.globals.php :) Фактически он был устаревшим с 5.3.0, но он не будет удален до 6.0, поэтому многие веб-серверы могут установить его к Ону. –
Спасибо :) Я должен сам использовать этот отзыв – casraf