1

我通过一些内部站点的主机名对用户进行身份验证。我这样做:

if( gethostbyaddr($_SERVER['REMOTE_ADDR']) == .... ) { ...

但我不确定以这种方式登录用户是否安全。有没有机会提高这种自动登录方法的安全性?还是这种方法已经足够安全了?

我喜欢这种方法,因为它很简单。他们工作得很好。

谢谢

更新:

环境:本地 Intranet,有大约 20 个客户端。本地托管 DNS。

我的问题与信任 $_SERVER['REMOTE_ADDR'] 是否安全?因为我使用主机名而不是 IP 地址来识别用户!

4

1 回答 1

1

好吧,你相信你的 DNS 吗?(还要确保你有一个快速的 dns)

还要注意,如果攻击者有密码,在 WEP/WPA/未加密的 WLAN 上,攻击者将真正的客户端踢出网络并劫持该 IP 地址是微不足道的(在 WEP 加密的 WLAN 上,获取密码也是琐碎的)

于 2017-11-22T09:34:40.077 回答