問題タブ [login-script]

次の設定で深刻な問題が何であるか疑問に思っています。

ユーザー名/パスワード ログイン スキーム Javascript/ajax は、サーバーからソルト値を要求します (以前の質問でソルトはシークレット値ではないことを確認しました) Javascript は、パスワードとソルトの SHA1 (またはその他) を実行します。Javascript/ajax がハッシュをサーバーに返す サーバーは、ajax 経由で送信されたものの上に別のソルト/ハッシュを適用します。

トランザクションは HTTPS 経由です。

存在する可能性のある問題について心配していますが、これがそれほど悪い設定であると自分自身に納得させることはできません. サイトでは jQuery が頻繁に使用されているため、すべてのユーザーが JavaScript を有効にする必要があると想定します。基本的に、パスワードのプレーンテキストにセキュリティのレイヤーを追加しようとしています。

PHP のセッションを使用してアクセスを制限する非常に単純なログイン スクリプトを作成しましたが、非常に奇妙な問題が発生しています。正しい資格情報を使用しても、最初の試行では常にログインに失敗しますが、2 回目以降の試行は問題なく機能します。原因が分からず困っていますので、どなたかご教授いただければ幸いです。

関係のないコードが削除されたログイン フォーム (はい、ログイン情報をプレーン テキストとして PHP ファイル内に保存することは通常は悪い考えですが、この場合は関係ありません):

認証が必要なすべてのページには

auth.php:

Perl の WWW::Mechanize を使用してファイルをダウンロードしようとしています。前に Web サイトにログインし、フォームを検証した後、ファイルをダウンロードする必要があります。

問題は、数時間後、私がやりたいことをすることに成功しなかったことです. 最後に、スクリプトは zip ファイルではなく、興味深い内容のない html ファイルを保存します。

これが私がやったスクリプトです：

私が犯した過ちを見つけるのを手伝ってくれませんか?

PHPログインスクリプトを探しています。私はstackoverflowを検索し、多くの投稿を見てきましたが、誰かが最良の方法をお勧めできますか？また、ハッシュを使用したい場合、取得時にパスワードをどのようにデコードしますか？私のiPhoneアプリは同じデータベースを使用しており、現在、パスワードは通常のテキストで保存されています（あまり安全ではありません）。

また、info.phpにリダイレクトするログインページを実装する場合、ユーザーがログインせずにinfo.phpページに直接アクセスするのを防ぐにはどうすればよいですか？セッション制御？

ご意見をお待ちしております。どうもありがとう。

私は Android アプリを作成しており、グラフ用の csv ファイルをダウンロードする必要があります。2 つの列を 2 つの配列文字列に配置する必要があるか、DB にインポートしてクエリを実行する必要があるかどうかはわかりません。csvファイルは常に変更されるため、文字列に配置するだけに傾いています。

私の2つの問題は次のとおりです。

1. http://myurl.net/protect/module_graph.htm?log=02などの正しいデータを CSV に入力するには、特定の URL にログインする必要があります。これにより、ファイルhttp://myurl.net/protect/data1.csvに正しいアイテムのデータが入力されます。log=02 を log=03 またはその他の数値に変更すると、data1.csv ファイルの内容が変更されます。Web ブラウザーで最初の URL を取得すると、基本認証を求めるウィンドウがポップアップ表示されます。URL を呼び出して、リクエストでユーザー名とパスワードを送信するにはどうすればよいですか?

2. CSV ファイルをダウンロードし、2 つの列を文字列として出力して、グラフ作成コードが文字列からデータを読み取れるようにする必要があります。ダウンロードの方法は分かったと思いますが、SDカードに保存してからデータを出力するべきでしょうか、それともWebからファイルを開いてそのまま出力するべきでしょうか？また、各列を配列文字列に配置するようにどのように指示しますか?

どんな助けでも大歓迎です。コード例やチュートリアルへのリンク、その他のオプションは大歓迎です:)

ありがとう！

ユーザー名/パスワード/送信を表示するためにdivを使用しています

また、AJAXを使用して、ページを更新せずに「ログイン無効」を通知します

私がしなければならないことは、

ログインに成功したら、ログインに使用した div セクションの要素を非表示にし、同じ div に「welcome $username」を表示します。

(ページのリロードなし)

誰か助けてくれませんか？

Java プログラム用のマルチ ユーザー ログイン システムを作成しようとしています。現在、ユーザー名とパスワードをテキスト ファイルに保存されている md5 ハッシュと比較しています。私が現在使用しているシステムを使用して、さまざまなユーザーにプログラムへのさまざまなアクセス権を与えることができるようにしたいと考えています。ファイル内のテキストを暗号化し、ユーザーがログインしたときに暗号化を解除する方法はありますか??? ありがとう

ユーザーが存在する場合、mysqlサーバーでユーザー名とパスワードを比較すると同時に2人のログインをチェックするログインスクリプトがあります

開発中のWebサイトのログインスクリプトを作成しており、PHPセッションを使用してユーザーを認証しています。

CookieにのみHTTPを使用し、セッションIDの保存にCookieのみを使用するようにスクリプトを設定しました。

基本的に2つのことを知りたい

1.ログインをより安全にするために他にすべきことはありますか？

と

2. PHPマニュアルにはsession_destroy()、セッションデータは削除されると記載されていますが、セッション変数の設定は解除されていません。この場合、実際には何が破壊されますか？ログアウト時にセッション変数の設定を手動で解除する必要がありますか？

助けてくれてありがとう

編集： 無料ホスティングを使用していますが、Apacheアドオンをインストールしたり、php.iniファイルを変更したりできません

編集： セッションIDの盗難を防ぐにはSSLを使用する必要があることを読みましたが、サーバーにOpenSSLをインストールする機能がないため、セッションIDを保護する他の方法はありますか？

私が開発したサイトは最近、ブルートフォース攻撃またはレインボーテーブル攻撃によって侵害されました。元のログインスクリプトにはSALTがなく、パスワードはMD5に保存されていました。

以下は、SALTとIPアドレスの禁止を含む更新されたスクリプトです。さらに、同じIPアドレスまたはアカウントで4回のログインに失敗した場合、Maydayの電子メールとSMSを送信し、アカウントを無効にします。よく見て、何が改善できるのか、何が欠けているのか、そして何がまったく奇妙なのかを教えてください。

編集

さて、これがランダムソルトでの私の試みです。まず、テーブルに挿入するソルトを作成します。

次に、ランダムソルトを使用してハッシュを生成します。

ユーザーがログインしたら、保存されたランダムに生成されたソルトを使用して、保存されたハッシュを比較します。

それはどのように見えますか？