Мне нужно знать, насколько безопасен мой код аутентификации пользователя, который я использую в своих php-приложениях.лучший и безопасный способ аутентификации пользователя в приложении php
Это моя Войти функцию проверки
// Is Login
//*********************************************************************************
public function isLogin()
{
$validation = new Validation();
if(!$validation->isEmpty($_SESSION["AdminId"]) && !$validation->isEmpty($_SESSION["AdminUsername"]) && !$validation->isEmpty($_SESSION["AdminName"]))
{
return true;
}
else
{
return false;
}
}
У меня есть AUTHENTICATE файл, который я называю из верхней части страницы каждого учетной записи пользователя, которая, как под
if (!$admin->isLogin())
{
header("Location: index.php?type=warning&msg=" .urlencode(ADMIN_INVALID_LOGIN));
exit();
}
На сессии значения, например имя_пользователя_администратор является фактическое имя пользователя admin, adminname - это алфавитное имя администратора, а adminid - это идентификатор записи из таблицы mysql, такой как $ _SESSION ["Adminusername"] = administrator, хотя я сохраняю это значение после его encypting.
мне нужно знать, это безопасный способ просто хранить значения и проверять их, или мне нужно иметь какое-то заранее функциональность, чтобы сделать его более безопасным, таким как соль или время проверки и т.д.
I оценят ваши предложения и отзывы. Если возможно, ваш аутентифицированный код/класс.
Заранее спасибо. Amardeep Singh
Возможно, лучше для http://codereview.stackexchange.com/. –
Вам лучше отправить идентификатор сообщения в url вместо фактического текста сообщения, таким образом вам не придется беспокоиться о кодировании и длине сообщения, поскольку длина URL-адреса имеет максимальный предел длины, и его можно легко достичь, если вы отправите целое сообщение в URL-адрес. – Buksy
@buksy - привет, я думаю, что вы неправильно поняли мой вопрос. Я не обеспокоен сообщением, а безопасным способом проверить, является ли пользователь логином или нет. – Asnexplore