April 13
Molti siti utilizzano una pagine Web PHP-based per accedere alle informazioni memorizzate in un database MySQL, come i siti di e-commerce o bacheche. Nessun sistema di sicurezza è impeccabile. Tuttavia, quando si crea un sito web che utilizza un modulo PHP e MySQL login, comprende funzioni di sicurezza, da account utente per la crittografia dati per i registri per quanto riguarda i tentativi di accesso. Questo non solo aiuta a prevenire gli attacchi online, ma può anche contribuire a migliorare la sicurezza con note dettagliate se mai il vostro sito è violato.
Molte aziende stanno richiedendo gli account utente di avere le password "forti". La definizione di una password complessa varia, ma di solito comprende una combinazione di lettere maiuscole e minuscole, valori numerici e caratteri speciali. Questi rendono più difficile da indovinare le password. Quando un utente tenta di accedere al database MySQL attraverso una forma di PHP e non riesce, non essere specifico circa il motivo per cui non sono riusciti. È sufficiente dire all'utente che l'accesso non è riuscito. In questo modo non stanno dando informazioni extra ai potenziali hacker.
Se si mantiene un database con le informazioni di accesso utente, assicurarsi di crittografare i dati. Lasciando nomi utente e password in chiaro è rischioso, soprattutto se una persona guadagna l'accesso non autorizzato al database. PHP ha una funzione chiamata "sha1 ()", che converte una stringa ad esempio una password al suo valore di hash SHA-1. Salva questo valore in MySQL. Quando un utente tenta di accedere tramite PHP, è possibile utilizzare la funzione di sha1 () per convertire la password SHA-1 e confrontare il suo valore a quello nel database. Gli hacker che hanno accesso alla banca dati non vedranno le password veri e propri.
Maniglia errori PHP in un modo che mantiene informazioni all'utente al minimo. Ad esempio, utilizzare il simbolo "@" prima funzione PHP chiama così come il "Die ()" la funzione - ad esempio, "@mysql_connect (...) or die (" Impossibile connettersi ");" - Quindi, se tale funzione non riesce ad eseguire, per qualche motivo, l'utente vede un messaggio di errore che si desidera loro di vedere, non uno che fornisce più informazioni di cui ha bisogno di sapere. Inoltre, quando il passaggio di informazioni quali nomi utente e password da una pagina PHP ad un altro, utilizzare il PHP "$ _POST" la funzione di mantenere le informazioni invisibile per l'utente, piuttosto che la funzione "$ _GET", che visualizza nella barra degli indirizzi.
Per le informazioni di accesso, mantenendo i log dei dati può andare un lungo cammino nel tracciare i problemi di sicurezza e di contribuire a indicare fori. Le ulteriori informazioni si accede, meglio si può correggere i problemi. Come minimo, tenere traccia del numero di volte che una persona accede a un sistema e timbro almeno l'ultimo registro nel tentativo con la data e l'ora, e salvare queste informazioni in una tabella di MySQL. Limitare l'accesso ai vostri ceppi pure, limitando il numero di persone che possono visualizzare o modificare.