2

現在、ログインが必要な小さな内部 PHP アプリケーションを開発しています。クレデンシャルは LDAP を使用して認証されますが、AD のユーザー名とパスワードをフォームで渡すことの安全性について疑問に思っています。

認証ページのコード:

    <?php

// using ldap bind
$ldaprdn  = $_POST['username'];
$ldappass = $_POST['password'];
// connect to ldap server
$ldapconn = ldap_connect("SERVERNAME")
    or die("Could not connect to LDAP server.");

if ($ldapconn) {

    // binding to ldap server
    $ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);

    // verify binding
    if ($ldapbind) {
        echo "LDAP bind successful...";
    } else {
        echo "LDAP bind failed...";
    }

}

?>
4

1 に答える 1

1

使用する

  • https
  • 投稿/リダイレクト/取得
  • ユーティリティがインターネットに接続されておらず、イントラネットのみに接続されていることを確認してください
  • CSRF保護
  • この情報を Cookie やファイルなどに保存しないでください。
于 2012-07-10T15:33:17.723 に答える