我已经创建了这个 php-Login,它将作为一个模板。
https://github.com/sinky/php-login-boilerplate
我的问题,这个 php-Login 安全吗?它工作正常吗?没有密码可以登录吗?(不考虑 SSL。)
感谢您的改进。问候马可
我已经创建了这个 php-Login,它将作为一个模板。
https://github.com/sinky/php-login-boilerplate
我的问题,这个 php-Login 安全吗?它工作正常吗?没有密码可以登录吗?(不考虑 SSL。)
感谢您的改进。问候马可
不..不是真的。
这很容易受到 CSRF 的影响:
if($_GET['logout']) {
session_destroy();
}
这很容易绕过,只需在每次尝试登录时清除 cookie:
sleep($_SESSION['loginFail']);
这是很好的行为:
header("location: login.php");
exit;
请记住 header() 不会阻止脚本执行。同样是的,登录名和会话 ID 都必须始终通过 HTTPS 传输(阅读:OWASP A9)。