阿贾克斯PHP登录脚本安全

Question

我在寻找如何通过Ajax发送用户名和密码安全PHP，以及如何也存储在MySQL数据库中的值正确了。

在过去，我已经使用了以下类型的例子：

var formData = {username:$('#username').val(), password:$('#password').val()}; 
//SEND 
$.ajax({ 
    type: "POST", 
    url: "/signin.php", 
    data: formData, 
    success: function(data) { 
     //success 
    } 
}); 

这是通过JavaScript发送值，然后获得从PHP返回OK或FAIL。但是这足够安全吗？我希望有人会好心地指出我的权利，并从JavaScript发送敏感数据到PHP的安全方向。

SQLfiddle

Answer 1

是安全的，你需要确保以最小的三件事情：

1. 输入框中，键入=密码 在用户输入密码的用户控件是一个密码输入型或自定义控制为此目的设计已经充分的验证不缓存等
2. 连接，HTTPS 在当前状态下，你的问题没有提及连接是否是通过HTTPS。如果登录框本身通过安全连接显示，则更安全。另外，ajax需要通过安全连接进行发布。
3. 哈希密码正确 使用本机PHP的密码哈希API和哈希密码和散列存储在数据库中。使用password_verify函数验证输入密码。 password_hash() password_verify()

做“正确的”，你还应该考虑：

1. 控制失败的登录请求的速度和数量。
2. 记录登录统计信息，以便您可以识别奇怪的行为并进行调查
3. 使用浏览器端和服务器端密码强度测试来验证用户的新密码足够强大。
4. 使用captcha防止行人自动化

5. 创建一个数据库用户，特别是用于身份验证。相应地限制表/模式访问。使用单独的子域进行身份验证。使用fastcgi-php或suphp将用户设置为auth访问数据库。允许正常的PHP数据库用户只能读取该信号量或其他登录状态证书“沙箱”。

6. 当用户输入密码时，请使用站点验证，ssl和他们在创建帐户时设置的验证“短语”或图片，以确保他们输入到服务器。

此外，大多数安全问题都将涉及您在登录后执行的操作。你打算如何维护用户的会话？更高的安全性通常需要降低用户的便利性。您需要仔细考虑用户一旦通过身份验证即可访问哪些类型的功能和信息。您的安全计划应该考虑到这一点。

你可以考虑另一种方法是使用了OAuth2提供商如谷歌和Facebook。