Il y a quelque temps, j'ai créé ce site web basé sur LAMP. À l'époque, j'ai écrit mon propre système de contrôle d'accès et d'authentification des utilisateurs. Il vérifie si l'utilisateur s'est connecté avec un mot de passe correct et s'il a ou non le bon niveau d'autorisation pour accéder à la page donnée. Les informations d'état sont gérées via des sessions PHP tandis que les noms d'utilisateur, les mots de passe hachés, les mots de passe hachés et le niveau utilisateur sont stockés dans un backend MySQL. Toutes les entrées utilisateur sont nettoyées et etc. Les utilisateurs doivent accéder au site avec SSL. Le problème est que je commence à deviner moi-même et devient de plus en plus paranoïaque à propos de la sécurité. Donc, je cherche des moyens de l'améliorer.Authentification/Contrôle d'accès en PHP
Pouvez-vous me donner des suggestions pour:
- des listes complètes des tests de sécurité, je pourrais mettre en œuvre et exécuter contre elle
- les meilleures pratiques pour la mise en œuvre de ce genre de système
Y at-il un un framework open source robuste ou un jeu de bibliothèques que vous pourriez utiliser à la place? La sagesse conventionnelle est qu'il est généralement préférable d'adopter un système mature, testé que d'écrire le vôtre à partir de zéro. Que recommanderais-tu?
Pourriez-vous développer plus sur 'REGISTER_GLOBALS'? Je suis intéressé par ce qu'il fait et comment il peut compromettre la sécurité. – casraf
Lisez ici: http://php.net/manual/en/security.globals.php :) Par conséquent, il était obsolète depuis la version 5.3.0, mais il ne sera pas supprimé avant la version 6.0, de sorte que de nombreux serveurs Web peuvent l'avoir défini à On par deafault. –
Merci :) Je devrais utiliser cette astuce moi-même – casraf