صفحه ورود امن

**666regab** · 02-14-2014, 12:05 AM

برای صفحه لاگین در پی اچ پی استفاده از کوکی بهتره یا سکشنها ؟
در کل رو یه اسکریپتی کار می کنیم که می خواییم صفحه لوگین امنی داشته باشه . فاکتوری موردی رو ذهن دارید عنوان کنید .

**sin4.c0d3r** · 02-14-2014, 01:11 AM

معلومه از سشن استفاده کنی امن تره.

**HO5531N** · 02-14-2014, 02:02 AM

هردو می تونه امن یا نا امن باشه اما من سیشن رو ترجیح دادم همیشه اگر می خوای خیلی امن هم باشه می تونی مجبور کنی طرف از ssl حتما استفاده کنه (البته اگر رو سرور ssl داری)

**666regab** · 02-14-2014, 11:38 AM

نه اس اس ال فاز نمی ده .
دوستان نمونه کد درست و حسابی و امن برای بخش لوگین ( بخصوص ادمین ) دارند ؟

**VRAnonymous** · 02-14-2014, 12:54 PM

اگه نخوای sniff بشی یا باید ssl استفاده کنی یا از CRAM استفاده کنی
بعدش باید sqli نداشته باشه که توی PHP یه بار scap کنی و tag quotation استفاده کنی که این مورد هم حل میشه
بعد از همه اینها باید یه userid یکتا داشته باشی که اونو هم میتونی توی session نگه داری

الان با این توضیحات دقیقا میخوای چیو امن کنی؟

**Sc0rpioN** · 02-14-2014, 02:03 PM

ببین اصلا نباید این سوال رو کنی که بین Session و ****ie انتخاب کنی چون کاربردشون کلا جداست.
****ie برای موقعی هست که session از بین می ره (کلا بعد authentication باید session ست بشه)
سعی که مکانیزم authentication امن باشه چه از ****ie چه از HTML form چه ...

**666regab** · 02-15-2014, 12:20 AM

نه من اسکریپتی که می نویسم یه بخشش رو کاربران هست که چیزی نداره . فقط یه اطلاعاتی کوتاه و کلی از کاربر می ده با یک بخش پرداخت .
بیشتر مانورم رو بخش ادمین و مدیریتی هست .پس سشن رو استفاده می کنم .

در مورد سایر اسیب پذیریهای رایج مثل تزریق و xss که بیشتر کاربرد داره ( بلدتر شدن ) نکاتی رو داره .
من سرچ زدم مثلا برای تزریق یه کدی بود که " و ' و ... که تستر هستند رو فیلتر می کرد . ولی باز می گفتن که کامل نیست .

**sin4.c0d3r** · 02-15-2014, 05:08 AM

ورودی هاتو format کن دیگه نگران sqli و xss نباش.

mysql_real_escape_string(stripslashes($str))

**HO5531N** · 02-16-2014, 12:59 AM

هر اطلاعاتی که از کاربر می گیری رو باید چک کنی (هرجا و هرچی)
فایل هم اگر می گیری حتما پسونداش رو چک کن
mysql_real_escape_string برای sqlinjection خوبه اما برا xss نه
برای xss هم نباد هیچ تگی از تگ های html رو بزاری کسی وارد کنه
htmlentities
htmlspecialchars

**bersam** · 02-16-2014, 02:22 AM

به این نکات توجه کن:

SQL Injections
Session Hijacking
Network Eavesdropping
Cross Site ******ing
Brute Force Attacks
اگه از سورس آماده هم میخوای استفاده کنی این خوبه:
http://www.php-login.net/

**666regab** · 02-16-2014, 02:58 AM

دوستان لینک کدی اموزشی چیزی رو بزارن ممنون می شم هااا

**HO5531N** · 02-16-2014, 06:07 AM

برای Brute Force Attacks تعداد دفعات که داره سعی میکنه که لوگین کنه رو چک کن و اگر مثلا از 10 تا زیاد تر شد تایک ساعت بهش اجازه نده پس جدیدی رو تست کنه

در مورد Session Hijacking و Network Eavesdropping خوشحال میشم یه توضیحی در موردش به صورت خولاصه بدن دوستان

**sin4.c0d3r** · 02-16-2014, 07:11 AM

captcha هم میتونی بزاری.

**666regab** · 02-16-2014, 11:31 AM

نوشته اصلی توسط bersam

به این نکات توجه کن:

اگه از سورس آماده هم میخوای استفاده کنی این خوبه:
http://www.php-login.net/

از این استفاده کنم تمامه ...

**bersam** · 02-16-2014, 10:45 PM

آره این همه موارد لازم رو در نظر گرفته
اگه نتونستی استفاده کنی بگو

موضوع: صفحه ورود امن

ابزارهای موضوع

نحوه نمایش موضوع

صفحه ورود امن

کاربر زیر از sin4.c0d3r به علت ارسالش ابراز تشکر کرد.

کاربر زیر از HO5531N به علت ارسالش ابراز تشکر کرد.

کاربر زیر از bersam به علت ارسالش ابراز تشکر کرد.

کاربر زیر از HO5531N به علت ارسالش ابراز تشکر کرد.

کاربر زیر از sin4.c0d3r به علت ارسالش ابراز تشکر کرد.

کاربر زیر از bersam به علت ارسالش ابراز تشکر کرد.

مجوز های ارسال و ویرایش