|
Connexion nombreux sites utilisent une des pages Web basées sur PHP pour accéder aux informations stockées dans une base de données MySQL, tels que les sites e -commerce ou des babillards électroniques . Aucun système de sécurité est impeccable. Cependant, lors de la création d'un site Web qui utilise un PHP et formulaire de connexion MySQL, incluent des fonctionnalités de sécurité, de comptes d'utilisateurs au cryptage de l'information dans les journaux concernant les tentatives de connexion . Cela permet non seulement de prévenir les attaques en ligne, mais peut aussi aider à améliorer votre sécurité à l'aide des notes détaillées si jamais votre site est piraté . Login et mots de passe
De nombreuses entreprises exigent des comptes d'utilisateurs à avoir des mots de passe "forts" . La définition d'un mot de passe fort varie, mais comprend généralement une combinaison de lettres majuscules et minuscules , des valeurs numériques et des caractères spéciaux . Ceux-ci font qu'il est plus difficile de deviner les mots de passe . Lorsqu'un utilisateur tente de se connecter à votre base de données MySQL via un formulaire PHP et échoue, ne pas être précis sur la raison pour laquelle ils ont échoué. Il suffit de dire à l'utilisateur que la connexion a échoué. De cette façon, vous ne donnez pas d'informations supplémentaires pour les pirates potentiels .
Data Encryption
Si vous gérez une base de données avec les informations de connexion de l'utilisateur , assurez-vous de crypter les données . Donner les noms d'utilisateur et mots de passe cryptés est risqué , surtout si une personne gains accès non autorisé à votre base de données. PHP dispose d' une fonction appelée " sha1 () ", qui convertit une chaîne comme un mot de passe à sa valeur hachage SHA-1 . Enregistrez cette valeur dans MySQL. Lorsqu'un utilisateur tente de se connecter via PHP, vous pouvez utiliser le sha1 ( ) pour convertir le mot de passe SHA-1 et de comparer sa valeur à celle de la base de données . Les pirates ayant accès à la base de données ne verront pas les mots de passe eux-mêmes.
PHP Fonctions
gérer les erreurs PHP d'une manière qui conserve des informations à l'utilisateur au minimum . Par exemple, utilisez le symbole "@" avant que la fonction PHP appelle ainsi que la fonction " die ()" - par exemple " @ mysql_connect ( ... ) or die (" Impossible de se connecter "); " - si cette fonction ne parvient pas à exécuter pour une raison quelconque , l'utilisateur voit un message d'erreur vous voulez qu'ils voient , pas celui qui fournit plus d'informations que ce qu'il doit savoir . En outre, lors du passage des informations telles que noms d'utilisateur et mots de passe d'une page PHP à une autre , utilisez la fonction PHP "$ _POST " de garder l'information invisible à l'utilisateur plutôt que la fonction " $ _GET " , qui affiche dans la barre d'adresse.
MySQL journaux
Lors de la surveillance des informations de connexion , le maintien des journaux de données peut aller un long chemin dans le suivi des questions de sécurité et d'aider à indiquer trous. Le plus d'informations que vous vous connectez , le mieux que vous pouvez corriger les problèmes . Au minimum, suivre le nombre de fois qu'une personne se connecte à un système et cachet au moins le dernier journal dans la tentative avec la date et l'heure, et enregistrer ces informations dans une table MySQL. Restreindre l'accès à vos journaux ainsi , de limiter le nombre de personnes qui peuvent consulter ou les modifier.
|
