1

我已经创建了这个 php-Login,它将作为一个模板。

https://github.com/sinky/php-login-boilerplate

我的问题,这个 php-Login 安全吗?它工作正常吗?没有密码可以登录吗?(不考虑 SSL。)

感谢您的改进。问候马可

4

1 回答 1

2

不..不是真的。

这很容易受到 CSRF 的影响:

if($_GET['logout']) {
  session_destroy();    
}

这很容易绕过,只需在每次尝试登录时清除 cookie:

sleep($_SESSION['loginFail']);

这是很好的行为:

header("location: login.php");
exit;

请记住 header() 不会阻止脚本执行。同样是的,登录名和会话 ID 都必须始终通过 HTTPS 传输(阅读:OWASP A9)。

于 2012-08-30T06:43:13.517 回答