Tworząc stronę internetową z kontami użytkowników, o czym muszę pamiętać?
Próbuję napisać stronę, która ma konta użytkowników. Nie ma wiele poufnych informacji innych niż hasło i adres e-mail. Ale nie bardzo rozumiem, co robię; jestem trochę hacking to wzdłuż, jak idę. Czy jest coś, o czym powinienem pamiętać w odniesieniu do bezpieczeństwa lub innych ważnych szczegółów?
4 answers
Powinieneś:
Zalecana Lektura:
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-06-19 19:52:49
Sarfraz Ahmed przyniósł kilka dobrych zasobów do czytania. Możesz również użyć klasy PHP do uwierzytelniania użytkowników, jest ich wiele. Ja sam stworzyłem projekt o nazwie userFlex na sourceForge http://uflex.sourceforge.net
UserFlex ma przyzwoitą dokumentację i robi więcej niż tylko zalogowanych użytkowników; robi rejestrację i walidacje pól, resetuje hasło, kody potwierdzające rejestracje, obsługuje sesje i więcej, takich jak autologin.
Again im just umieszczając userFlex jako przykład, możesz również przyjrzeć się http://www.phpclasses.org/browse/file/5269.html lub wiele innych dobrych klas w PHPclasses.org .
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-06-19 21:19:30
Użyj JanRain Engage (dawniej rpxnow.com) do uwierzytelniania. Ich rozwiązanie pozwala użytkownikom korzystać z istniejących poświadczeń z Google, Yahoo, Microsoft, Facebook i innych, aby zalogować się do witryny. Wielu z tych dostawców w ramach procesu uwierzytelniania podaje poprawny identyfikator OpenID i często poprawny adres e-mail.
Jeśli używasz JanRain, musisz tylko zapisać adres e-mail lub OpenID dla użytkownika i nie musisz przechowywać haseł ani hasła hashes . Co więcej, nie musisz wdrażać żadnej funkcji resetowania hasła ani "Zapomniałem hasła". Również funkcja rejestracji użytkownika może być znacznie mniejsza, ponieważ uruchamiasz ją z poprawnym adresem e-mail lub OpenID podanym przez jego właściciela.
Komunikacja pomiędzy twoją aplikacją a JanRain jest uwierzytelniona i szyfrowana, więc wszystko jest przyjemne i bezpieczne.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-06-19 20:37:23
Musisz użyć funkcji PHP MD5 dla haseł. Prosty sposób zabezpieczenia. Upewnij się również, że używasz strip_tags w php, aby ktoś nie mógł wykonywać poleceń w polach wprowadzania. Ponieważ nie ma żadnych sensownych danych, nie sądzę, że musisz cokolwiek zaszyfrować. Po prostu upewnij się, że system logowania jest idealny, a użytkownik nie ma innego sposobu dostępu do danych bez logowania..
Shud.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-06-19 19:55:50