您好,我想建立一个不错的登录系统,我正在考虑这些步骤,希望您能告诉我这对黑客和破解者是否真的有效:)
1-在我的登录表单中,每次加载页面时,我都会生成这些 SESSION 变量
SESSION1 = random()
SESSION2 = random()
SESSION3 = random()
SESSION4 = time()
SESSIONHASHKEY = array(){[SESSION1 digits]};
SESSIONRESULT = hash(Concatenation of caracters at position situated inside the SESSIONHASHKEY array from the SESSION2);
Set the name of the button of the login to the SESSION3 number)
2-在我的登录表单(用户输入用户名和密码)和我的身份验证页面(我的代码将验证用户名和密码是否正确)之间放置一个名为 auth.php 的文件
if !isset SESSION1 redirect login page
if !isset SESSION2 redirect login page
if !isset SESSION3 redirect login page
if !isset SESSION4 redirect login page
if SESSION1 digits array != SESSIONHASHKEY redirect loginpage
if MD5(concatenation of caracters at position situated inside the SESSIONHASHKEY) != SESSIONRESULT redirect loginpage
if !isset loginbutton_{SHA256(MD5(SHA256(MD5(SHA256(SESSION3)))))} redirect login page
if (time() - SESSION4) >10 redirect loginpage
如果测试成功通过,我将重定向到在会话中传递用户名和密码的身份验证页面
这是我的场景,所以我希望你能帮助我定义看起来像过程的安全级别:)