Mest sikre login system?

Tags:    mysqli php

Hvad er det mest sikre brugersystem man kan lave?
Hvad er sikkert nok?

Jeg har et gammelt brugersystem, hvor siderne er beskyttede - men spørgsmålet er så om det er sikkert nok eller om jeg bør lavet et nyt/ bedre nu hvor jeg alligevel er i gang med at opdatere/ ombygge websiden.

Hvad er jeres gode råd?
Jeg skal gerne at mine brugere kan opdatere g eventuelt også oprette nye poster i min database. og i det gamle system kunne de også uploade billeder.
Specielt det sidste med mulighed for at uploade billeder, er jeg noget nervøs for om kan laves sikkert nok.

Input søges :)



3 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt 0 karma
Sorter efter stemmer Sorter efter dato

Hvad er det mest sikre brugersystem man kan lave?


lidt hurtige bud, andre har sikkert flere


oprettelse af bruger
der skal anvendes CAPTCHA, for at undgå botter
https://www.phpcaptcha.org/


login
din side skal anvende https og ikke http

brugerens pw er krypterede i databasen
http://php.net/manual/en/function.hash.php
http://php.net/manual/en/function.crypt.php

der anvendes et skiftende salt til kryptering af pw

pw skal have en vis komplexitet feks med store/små bogstaver, tal, mindst 8 karaktere

pw skal skiftes hvert 3 måned

pw må ikke genanvendes for de sidste 365 dage


glemt pw
der laves et random pw der sendes til brugerens mail addresse
(bruger selv http://php.net/manual/en/function.shuffle.php#95414 til at generarer random pw)

*******************

der skal anvendes Prepare Statement, ved alle sql kald
alle bruger input skal valideres minimum serverside og gerne clientside




Ok - der er da lidt at kigge på.
Jeg mener (men har ikke tjekket endnu) at jeg fik lavet kryptering af passwords.

Men Når jeg så f.eks. har en side hvor en bruger kan uploade et billede. Hvordan kan jeg så sikre bedst at denne side er sikker og ikke kan hackes?
Er det det sidste med prepare statement jeg skal kigge på der?




Når jeg så f.eks. har en side hvor en bruger kan uploade et billede. Hvordan kan jeg så sikre bedst at denne side er sikker og ikke kan hackes?


start med at sikre dig at det kun er billeder der kan uploades (lav en liste af godkende filformater, du checker op imod)

sikre dig det kun er godkendte brugere der kan uploade (sikres bag noget login)
læg et check ind i toppen af processupload.php der tester om brugeren er logget ind med de rigtige rettigheder

jeg kan se filen processupload.php fra
http://www.udvikleren.dk/forum/40104/smarteste-maade-at-uploade-billede-og-gemme-img-url-i-database
IKKE er gemt bag noget login, men der er filtype validering

gemte du den ikke bag noget login efterfølgende ??


den oprindelige code lå her
http://www.saaraan.com/2012/05/ajax-image-upload-with-progressbar-with-jquery-and-php

flyttet hertil
https://www.sanwebe.com/2012/05/ajax-image-upload-with-progressbar-with-jquery-and-php
og lavet meget om




t