【发布时间】:2011-10-18 15:28:10
【问题描述】:
正如标题所说,基于 php 的会员系统最常见的安全功能是什么。我认识的几个:
- mysql 注入
- 安全连接
- 加密的密码和其他敏感数据。
还有什么?
【问题讨论】:
标签: php security membership
【发布时间】:2011-10-18 15:28:10
【问题描述】:
身份验证!= 授权是另一个想到的问题。
【讨论】:
可在此处找到详细的攻击列表: https://www.owasp.org/index.php/Category:Attack
一些方法:
- 滥用代码功能(错误编码)
- 数据结构攻击
- 嵌入恶意代码 (XSS)
- 利用身份验证
- 注射
- 路径遍历攻击(包括($_GET['file']))
- 协议操作
- 资源耗尽 (DOS/DDOS)
- 资源操作
- 嗅探攻击
- 欺骗(COOKIES)
【讨论】:
需要考虑的其他一些事情:
- 会话安全(如何设置会话变量?有人的会话 ID 会被盗吗?session fixation 可能吗?)
- 您的表单是否受到XSS 的保护?
- 您是否有任何机制来防止暴力攻击,例如在 X 次尝试失败后锁定 IP 地址?您是否需要跟踪谁登录了给定帐户? (例如,如果您的网站仅由居住在美国的人运营,如果有人从东南亚的 IP 地址登录管理员帐户,是否应该通知您?)
【讨论】:
最低密码要求是绝对必要的。另外,请使用某种类型的验证码。
【讨论】:
这是一个显示一些重要安全问题的链接:
【讨论】:
不一定是安全功能,但系统的用户体验不应令人困惑。大多数用户都看到了 uname/pword 登录表单,有些用户看到了 OAuth/OpenId。除此之外,您进入一个需要确保您的意图明确的世界。
【讨论】:
我在这里列出了最常见的安全问题:Historical security flaws of popular PHP CMS's?
它缺少授权!= barfon 回答的身份验证问题,您应该拥有的所有反垃圾邮件保护,我敢肯定还有其他一些我现在想不到的东西。
【讨论】: