私はこれらをたくさん読みましたが、適切に答えられていないと思ういくつかの質問があります。リンクがありましたらご紹介ください。よろしくお願いします。
私はPHPログインシステムを持っており、ユーザーが登録してログインするコミュニティサイトになります。今、私はこれらのことであなたの助けが必要です:
どうもありがとう、ステファノ
1.ほとんどのサイト(WP、Joomla、FBなど)にはどのハッシュアルゴリズムで十分ですか?塩を使ったシンプルなMD5?または何
最低限、塩を含むMD5を使用する必要があります。MD5は他の利用可能なアルゴリズムと比較してかなり安全でないことが証明されているため、理想的には別のハッシュアルゴリズムを使用する必要があります。ここで利用可能なさまざまなものを見てくださいhash()。個人的には、ユーザーごとのソルトを使用してSHA512を使用します。
ユーザーごとのソルトを使用するということは、データベースを入手した攻撃者は、パスワードを一度に解読するのではなく、ユーザーごとに解読する必要があることを意味します。
2.私が対処しなければならない攻撃は、トップシークレットサイトとは別に、コミュニティ主導のサイトに存在するものです。
主な攻撃はSQLインジェクション攻撃です(データベースを盗むか、悪意のあるコードをサイトに挿入するため)。これは、クロスサイトスクリプティング攻撃と組み合わせることもできます。これにより、攻撃者が独自のコード(<script>タグなど)をサイトに配置して、ユーザーをウイルスに感染させる可能性があります。
これらの2つの攻撃は、データベースに入る変数をエスケープし、ユーザーが送信したデータのHTML(または特殊文字)を取り除くことで軽減できます。
3.PDOとMySQLiの中で最高のものは何ですか
この質問は、他の誰かに答えてもらいます-私は違いについてはそれほど手がかりがありません。
お役に立てれば
2)SQLインジェクション攻撃とXSS(クロスサイトスクリプティング)に特に注意する必要があります。その他の攻撃ベクトルについては、 https://www.owasp.org/index.php/OWASP_Top_Ten_Projectを参照してください。
3)MySQLiのみを使用しましたが、まともなライブラリだと思いました
MD5はあまり良いとは思わないので、このMD5デコーダー:http ://www.md5decrypter.com/
個人的にはSHA1を使用しています。オンラインで見つけたSHA1デコーダーが機能しません。SHA1の方が遅いと言う人もいますが、ログインだけにSHA1を使用しているのになぜ気になるのか理解できません。
Mysqliはインジェクション攻撃を防ぐ必要があります。
ログイン試行の失敗に関する情報をあまり多く提供しないように注意してください。悪い例:「ユーザー名は認識されますが、パスワードが正しくありません」良い例:「ユーザー名とパスワードが一致しません」->ユーザー名がデータベースにない場合でも、失敗したすべてのログインにこれを使用します。