1
템플릿으로 사용할 php-Login을 만들었습니다.PHP 로그인은 안전한가요? [Boilerplate]
https://github.com/sinky/php-login-boilerplate
내 질문이-로그인 PHP는 안전합니까? 제대로 작동합니까? 비밀번호없이 로그인 할 수 있습니까? (SSL은 고려되지 않았습니다.)
감사합니다. 인사말 Marco
A
답변
2
아니요.
이
은 CSRF에 취약하다 :header("location: login.php");
exit;
sleep($_SESSION['loginFail']);
이 좋은 동작입니다 :
if($_GET['logout']) {
session_destroy();
}
이, 당신이 쿠키는 로그인을 시도 할 때마다 단지 명확 우회 간단하다
header()는 스크립트 실행을 중지하지 않습니다. 또한 예, 로그인과 세션 ID는 항상 HTTPS를 통해 전송되어야합니다 (읽기 : OWASP A9).
+0
제안 해 주셔서 감사합니다. 로그 아웃시 CSRF를 방지하기 위해 스크립트를 업데이트했습니다. 나는 타피 트가 아파치에 열린 커넥션과 관련하여 매우 좋지 않다는 것을 안다. – Sinky
관련 문제
- 1. 이 PHP 스크립트는 안전한가요?
- 2. PHP 가입 양식 - 안전하고 안전한가요?
- 3. Simperium 로그인은
- 4. Modernizr and Boilerplate
- 5. jQuery Plugin Boilerplate
- 6. HTML5와 이클립스 사용하기 Boilerplate
- 7. Backbone.Marionette vs Backbone-Boilerplate
- 8. Trigger.io & Backbone-Boilerplate 상대 경로
- 9. PHP 5 : cURL을 통한 파일 다운로드는 안전한가요?
- 10. PHP AJAX 로그인,이 방법은 안전한가요?
- 11. PHP AJAX 로그인,이 방법은 안전한가요?
- 12. 로그인은 3에서 일어나는 전기
- 13. 사용자 로그인은 Sqlite입니까?
- 14. [자동 로그인은 아이폰
- 15. Kohana의 인증 로그인은
- 16. 인증 로그인은 항상 CakePHP의
- 17. SecureString은 안전한가요?
- 18. JQuery는 안전한가요?
- 19. PHP는 안전한가요?
- 20. HttpUtility.HtmlEncode는 안전한가요?
- 21. PHP 로그인은 작동하지만 MySQL 스크립트의 사용자 유형 필드를 무시합니다
- 22. 이 PHP는 안전한가요?
- 23. WIF 로그인은 IE9에서 중간에 만료됩니다.
- 24. Hadoop 작업의 로그인은 어떻게 작동합니까?
- 25. C#의 웹 클라이언트 로그인은
- 26. DotNetNuke - 모든 로그인은 어디서나 추적됩니까?
- 27. PHP/MySQL 로그인은 하나의 서버 (PHP 5.0.2)에서 작동하지만 다른 서버에서는 작동하지 않습니다 (PHP 5.1.6)
- 28. 이 양식은 안전한가요?
- 29. node.js + express + boilerplate + jquery 모듈이 작동하지 않습니다.
- 30. 파이로 신호는 안전한가요?
http://stackexchange.com/ –
에 게시하고 싶습니다.이 예제는 충분히 안전하지만 실제 보안 취약점이 데이터베이스와 관련되어 나타납니다. – nick
사용 가능한 샘플 보안 PHP 로그인 스크립트를 탐색하십시오. 스크립트가 일반적인 보안 공격 (SQL 주입, 네트워크 도청, 무차별 대항)을 어떻게 막을 수 있는지 살펴보십시오. 'sha1'보다는'md5'를 사용하십시오. (단지 제안 일뿐입니다) – verisimilitude