Это задавали много раз, но ни один из ответов не удовлетворяет, я смотрел онлайн на безопасные учебники, но я не нашел что-то достаточно хорошего, которое вы хотели бы использовать на важном веб-сайте. Просто кажется, что существует так много способов обойти безопасность.Безопасная система проверки подлинности PHP
Кто-нибудь знает о ХОРОШЕМ? Что вы, ребята, делаете, когда строите сайт, который нуждается в этом?
Загрузите фреймворки с открытым исходным кодом или CMS, погрузитесь в код и посмотрите, как это делается :) Пример: Drupal!
Не так много фреймворков с открытым исходным кодом или CMS написаны с защитой в качестве основного фокуса. – Jacco
Плюс они с открытым исходным кодом, каждый может посмотреть там, чтобы увидеть, как все работает! Они хороши для очень простых сайтов, которые зарегистрированный пользователь не может действительно нанести слишком большой урон. – Mankind1023
Нет, сэр. Drupal, например, имеет целую команду, которая касается только безопасности в проекте. Http://drupal.org/security С другой стороны, поскольку это открытый исходный код, и каждый может посмотреть на уязвимости источника (а не только на черные шляпы) легче определить и исправить :) – redben
Я использую систему на основе разрешений, в которой каждый пользователь принадлежит к группе, а каждая группа имеет набор разрешений. В каждой форме я использую поле nonce, чтобы предотвратить «случайное» представление, если это действительно важно, я проверяю пароли пользователей с помощью склепа и не допускать слабых.
EDIT. вы также можете использовать проверку электронной почты для действительно важных команд.
С безопасностью лучший план - не делать этого самостоятельно; оставьте это экспертам ... и я - человек с тяжелым случаем синдрома «Не построенный здесь».
Если вы хотите, чтобы узнали о безопасности, напишите сами, но не используйте его в среде prod.
Если вам необходимо изучить безопасность, я предлагаю по крайней мере прочитать You're Probably Storing Passwords Incorrectly о кодировании ужасов и чтении Essential PHP Security.
Если у вас есть необходимо безопасность в среде prod, получите библиотеку от надежного профессионального источника и используйте ее. Я предлагаю OpenID.
Да, мне нужно научиться безопасности, я искал вокруг учебники, различные типы атак, способы их предотвращения и т. д., но не уверены, куда идти отсюда. – Mankind1023
Вы можете получить общую, но полезную информацию здесь - The Definitive Guide To Website Authentication (beta).
Есть много (много открытых источников) хороших там. Вы говорите, что не нашли «достаточно хорошего». Это поможет, если вы определите свои требования, прежде чем задавать вопрос о том, что лучше. Итак, каковы ваши требования к системе? Помните, что ни один язык или система никогда не освободят вас от бремени разъяснения ваших идей (с http://www.xkcd.com/568/) ... – ircmaxell
В принципе, что-то, что вы хотели бы использовать на сайте, хранящем важную информацию, например, кредит карты и т. д., где вы не можете позволить себе перерыв. – Mankind1023
Это еще не набор требований. Вам нужно выяснить, что вам нужно для проверки подлинности, а затем искать auth-системы, которые это сделают. Я предполагаю, что сайт будет находиться под SSL все время (поскольку, как вы говорите, это для «важной информации») ... Если это так, одним из примеров требования было бы использовать как HTTP_ONLY, так и SSL-файл cookie флаги для любого набора файлов cookie ... – ircmaxell