第一次为网页创建一个登录系统,我一直在努力读懂安全性,但不确定我是否正确地做了。我的登录会话是否安全?
到目前为止,我有一个用户名/密码存储和密码哈希与SHA256和3字符盐。如果用户名和密码都正确,那么我提出一个新的会话ID这样
session_regenerate_id();
$_SESSION['valid'] = 1;
$_SESSION['userid'] = $userid;
在每一页我检查
function isLoggedIn()
{
if(isset($_SESSION['valid']) && $_SESSION['valid'])
return true;
return false;
}
我用它来检查是否有正确的用户
$username = $_POST['username'];
$password = $_POST['password'];
//connect to the database here
connect();
//save username
$username = mysql_real_escape_string($username);
//query the database for the username provided
$query = "SELECT password, salt
FROM users
WHERE username = '$username';";
$result = mysql_query($query);
if(mysql_num_rows($result) < 1) //no such user exists
{
//show incorrect login message
}
//check the password is correct for the username found
$userData = mysql_fetch_array($result, MYSQL_ASSOC);
$hash = hash('sha256', $userData['salt'] . hash('sha256', $password));
if($hash != $userData['password']) //incorrect password
{
//show incorrect login message
}
else
{
//setup a new session
validateUser();
//redirect to the main page
header('Location: main.php');
die();
如果它是假的,那么它们会被发送回登录页面。这足够安全吗?
主页我也有HTML链接
<li><a href="main.php">Home page</a>
,所以我需要结束主页上的PHP脚本时使用这些链接?
如果这是您第一次登录,就ok了。但是你应该阅读关于登录安全性。有很多事情要考虑。 – machineaddict 2012-07-13 09:46:25
3焦炭盐?如果是16个字符并且每个用户都有自己的盐,那将更安全。 – 2012-07-13 09:51:46
这绝对值得一读:[基于表单的网站验证权威指南](http://stackoverflow.com/questions/549/the-definitive-guide-to-forms-based-website-authentication) – Polynomial 2012-07-13 15:16:15