我用非常简单的 php 代码构建了几个网站,到目前为止都很好,但我碰巧现在担心主题“安全”我想知道在 PHP 中创建登录/身份验证过程的最佳方法是什么
这是我目前所做的:
在注册过程中,用户提交电子邮件和密码 密码将作为 md5 字符串存储在 mysql 中,因此除用户之外的任何人都知道。
当用户登录时,我做
SELECT * FROM usertable WHERE email = $emailsubmitted AND pass = md5($passsubmitted)
那么如果结果数组的大小大于零,则意味着用户存在
所以我设置
session_start();
$_SESSION['logged'] = 'true';
$_SESSION[userid] = userid;
因此对于用户浏览的每个页面,我将执行检查以查看 session 变量是否存在。
底线:我想知道这是否足够安全以及如何改进。
最佳答案
您的 SQL 语句中存在注入(inject)漏洞。 (假设“已提交”后缀表示变量未对其进行任何过滤。)如果恶意用户提交 'admin@example.com' AND 1=1;-- 作为电子邮件地址,无论密码如何,他们都可以使用“admin@example.com”的凭据登录。我建议保护 SQL 的输入和/或使用存储过程。我还建议只加载您绝对需要的列;它将提高查询速度并允许更少的状态在数据库外暂停。
此外,对密码实现加盐处理。如果有人要从数据库中检索用户的数据,密码将很容易成为暴力破解和字典攻击(如彩虹表)的目标。如果您真的很偏执,请考虑从 MD5 切换到 SHA 或其他哈希函数。
确保在您的 php.ini 文件中设置了哪些变量,并将它们设置为您期望的值。根据这些设置,$_SESSION 的数组赋值也是不安全的。一些旧的网络应用程序利用了一个 PHP“特性”,它使查询字符串中的变量成为网络应用程序中的全局变量,这意味着当它执行 $_SESSION['userid'] = $userid; 时,如果恶意用户将 ?userid=1 附加到他们的查询字符串,他们将成为用户 ID 为 1 的用户,这通常是第一个用户(或管理员)。
关于关于网站用户身份验证的 PHP 最佳实践?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5876859/
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我希望我的UserPrice模型的属性在它们为空或不验证数值时默认为0。这些属性是tax_rate、shipping_cost和price。classCreateUserPrices8,:scale=>2t.decimal:tax_rate,:precision=>8,:scale=>2t.decimal:shipping_cost,:precision=>8,:scale=>2endendend起初,我将所有3列的:default=>0放在表格中,但我不想要这样,因为它已经填充了字段,我想使用占位符。这是我的UserPrice模型:classUserPrice回答before_val
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
我将应用程序升级到Rails4,一切正常。我可以登录并转到我的编辑页面。也更新了观点。使用标准View时,用户会更新。但是当我添加例如字段:name时,它不会在表单中更新。使用devise3.1.1和gem'protected_attributes'我需要在设备或数据库上运行某种更新命令吗?我也搜索过这个地方,找到了许多不同的解决方案,但没有一个会更新我的用户字段。我没有添加任何自定义字段。 最佳答案 如果您想允许额外的参数,您可以在ApplicationController中使用beforefilter,因为Rails4将参数
我有一些非常大的模型,我必须将它们迁移到最新版本的Rails。这些模型有相当多的验证(User有大约50个验证)。是否可以将所有这些验证移动到另一个文件中?说app/models/validations/user_validations.rb。如果可以,有人可以提供示例吗? 最佳答案 您可以为此使用关注点:#app/models/validations/user_validations.rbrequire'active_support/concern'moduleUserValidationsextendActiveSupport:
当我的预订模型通过rake任务在状态机上转换时,我试图找出如何跳过对ActiveRecord对象的特定实例的验证。我想在reservation.close时跳过所有验证!叫做。希望调用reservation.close!(:validate=>false)之类的东西。仅供引用,我们正在使用https://github.com/pluginaweek/state_machine用于状态机。这是我的预订模型的示例。classReservation["requested","negotiating","approved"])}state_machine:initial=>'requested
我有一个服务模型/表及其注册表。在表单中,我几乎拥有服务的所有字段,但我想在验证服务对象之前自动设置其中一些值。示例:--服务Controller#创建Action:defcreate@service=Service.new@service_form=ServiceFormObject.new(@service)@service_form.validate(params[:service_form_object])and@service_form.saverespond_with(@service_form,location:admin_services_path)end在验证@ser