テンプレートとして機能するこのphp-Loginを作成しました。
https://github.com/sinky/php-login-boilerplate
私の質問、このphp-Loginは安全ですか?それは適切に機能しますか?パスワードなしでログインすることはできますか?(SSLは考慮されていません。)
改善していただきありがとうございます。マルコさん、ご挨拶
質問する
476 次
1 に答える
2
いいえ、そうではありません。
これはCSRFに対して脆弱です。
if($_GET['logout']) {
session_destroy();
}
これをバイパスするのは簡単です。ログインを試みるたびにCookieをクリアするだけです。
sleep($_SESSION['loginFail']);
これは良い振る舞いです:
header("location: login.php");
exit;
header()はスクリプトの実行を停止しないことに注意してください。また、はい、ログインとセッションIDの両方を常にHTTPS経由で送信する必要があります(OWASP A9を参照)。
于 2012-08-30T06:43:13.517 に答える