Программирование > PHP

Безопасная авторизация

(1/3) > >>

HefneR:
Уже как-то писал авторизацию пользователей на сайте, но по неопытности, он получился весь дырявый. Теперь опять встала эта задача, но хочется что бы решение было защищено в полной мере. Искал статьи, но большинство ещё хуже чем мой старенький скрипт. Есть конечно же и те, где указываются слабые места, но всё-равно не полность. Если кто видел грамотную статью на тему как защитить авторизацию на сайте, поделитесь плз ссылочкой!

PS: я не ищу готовый код, хотя бы чисто тиоритически

Egorsha:
Здесь смотрел?

http://www.securitylab.ru/

Если нет, то посмотри. Возможно в статьях что-то и найдешь.

unclebob:
HefneR
Что Вы имеете ввиду под безопасной авторизацией?

xames:
1. при загрузке формы авторизации выдаем пользователю сессию, например, "count=1".
2. при проверке входных данных (post запрос) проверяем наличие сессии(count), если есть проверяем ее значение, оно не должно быть больше N (количество попыток авторизации). Если count > N то header(\'Status: 404\');exit;. Если же count форма авторизации.
4. если пользователь нашелся, редиректим на admin.php, count=0; и auth=1; (в admin.php проверяешь наличие в сессии значения auth = 1, если такоговой нету то редиректишь на auth.php)

Отчасти это поможет обезопастить авторизацию от подбора паролей.
остальная "безопасность" зависит лишь от реализации=)

CGVictor:
xames
1,2 - ерунду сказал, дырку.
Что будет, если я просто не передам параметр сессии?

Навигация

[0] Главная страница сообщений

[#] Следующая страница