HTTPS和安全

Question

当用户登录我的网站时，他们的数据通过一个单独的页面传递，即他们登录在login.php页面上，但数据在login.inc上被检索/存储/验证等。 .PHP。所以用户永远不会看到这个页面，之后他们会直接转到他们的个人资料页面。

1. 如果login.php使用HTTPS或login.inc.php页面？如果是这样，为什么不，为什么不呢？
2. 所有数据都是通过POST的形式发送的，我使用$mysqli->real_escape_string，准备好了语句并使用hash_hmac来散列密码。如果我使用HTTPS，这些步骤是否必要？
3. 如果不是，我应该实现哪些其他安全功能？

Answer 1

1. 您必须只使用HTTPS而客户端与之交互这些网页（即login.php），因为login.inc.php被包括在服务器的页面。
2. 这些步骤与HTTPS的使用无关，仅用于内部脚本安全性（即防止SQL注入等）。
3. 只要您使用HTTPS进行服务器与客户端的交互（提供的所有外部文件（如javascript和该页面中的图像也通过SSL加载）），则不应担心连接的安全性。