อยากได้ Code PHP Login ที่มีความปลอดภัยมากที่สุด

Se7enKeNz

ตามหัวข้อเลยครับ อยากได้มากๆเลยครับ
แบบปลอดภัยที่สุด โดนแฮคยากที่สุดอะครับ

TAXZe

ฟอร์มที่เหมือนๆ phpmyadmin น่ะ

น่าจะปลอดภัย

Reality

อ้างถึงจาก: TAXZe ใน 23 พฤศจิกายน 2009, 18:14:02
ฟอร์มที่เหมือนๆ phpmyadmin น่ะ

น่าจะปลอดภัย

ประมวลผลเหมือนทั่วๆ ไปครับ ให้ผลไม่ต่างกันเลย

icez

paypal ก็ html form ธรรมดานะครับ

แค่จับใส่ https แค่นั้นเอง

ball6847

ไม่ค่อยรู้เหมือนกัน คิดว่าคงอยู่ที่จุดอื่นๆของเว็บด้วยแหละ เพราะมันไม่ได้แฮ็คได้แค่ทางการล็อกอิน อย่างถ้าโดน xss แล้วทุก user รวมทั้ง admin ถ้าเปิดไปหน้าที่โดน xss มีโอกาสโดนบุกเข้าไป user area ได้หมด

ยังมีกรณี sql injection ที่สามารถ bypass การเช็ค password ได้ (เกิดจากที่รับ input เข้าไปยัดสดใน query)

woratana

เรื่อง Injection น่าจะรอดถ้า mysql_real_escape พวก String ทั้งหลายก่อนเอาไปใส่ Query ครับ ไม่ก็ใช้เทคนิคที่เรียกว่า Binding ซึ่งเป็นการต้ั้ง query ขึ้นมาก่อน แล้วเหลือช่องใส่ Argument เอาไว้ จากนั้นค่อยเขียนอีกบรรทัดใส่ Argument เข้าไป (อันนี้ลองไปหาอ่านดู ผมเขียนอธิบายอาจไม่เข้าใจ

)

ส่วนเรื่องการขโมย Cookie ก็แก้ด้วยการใช้ https ซะ ไม่ก็ใช้วิธีที่เรียกว่า session cookie ถ้าขี้เกียจเขียนเองก็ลองไปหยิบ ๆ หา Framework มาใช้ครับ สะดวกดี

(ขนาด GMail ยังใช้ session cookie เลยนะ)

เรื่อง XSS นี่จริง ๆ มันมีวิธีเช็คได้ว่าข้อมูลถูกส่งมาจากภายในโดเมนเดียวกันหรือเปล่า (จำโค้ดไม่ได้ ขอโต้ดก๊าบ) ถ้าทำแบบนั้นก็สแกนออกไปได้ระดับนึงน่ะครับ

ประมาณนี้แหละครับ

market_online · 09 สิงหาคม 2019, 15:32:41

AlwaysBlues · 09 สิงหาคม 2019, 16:28:53

ถ้าใช้ framework ก็น่าจะปลอดภัยระดับนึงนะครับ
เเต่ถ้าเขียนเองนี่ต้องระวังเรื่อง sql injection ดีๆครับ

esanza.com · 09 สิงหาคม 2019, 16:39:56

หน้า login ที่ปลอดภัย
แต่โดนแฮกโฮส ก็จบครับ
นิยามคำว่าปลอดภัยให้อ่านหน่อยครับ

mean · 09 สิงหาคม 2019, 21:19:12

ถ้าจะให้ปลอดภัยมากๆ ก็ allow เฉพาะ ip ครับ

แต่ถ้าจำเป็นต้องเปิดให้ผู้อื่นใช้ด้วย

เช็ค ครั้ง login ,
เช็ค ip login
เช็ค user/pass
เช็ค captcha

หรือ login แล้วยืนยัน ด้วย token code sms ผมว่ายากมากแล้วครับ

แค่นี้ก็ปลอดภัยขึ้นมากแล้วครับ

watyai · 15 สิงหาคม 2019, 13:11:23

ลองแกะของ phpBB3 ครับ ซึ่งใช้ Framework symfony เป็น framework ที่เด่นเรื่องความปลอดภัย
ตั้งค่าความปลอดภัย ได้ ซึ่งระบบ เช็ค token, เก็บ session, ban การ login ผิดบ่อยๆ, เข้ารหัส hash เก็บแยกรหัสผ่านที่เข้ารหัสแล้ว ip subnet header เช็คการ fw และอีกหลายอย่าง ลองดูครับ เจ๋งกว่าของ SMF (แต่ก่อนผม customize smf อยู่)
อ่ออีกอย่าง มีตัวช่วย login ค้างด้วย

wachirawit · 15 สิงหาคม 2019, 16:33:53

ตามครับผม

dekdoo · 15 สิงหาคม 2019, 21:45:15

หลักการก็เหมือน Login Form ทั่วไปแหละครับ เช่นเว็บของผม php
ส่วนใหญ่แล้วเขาจะ encode รหัสกับ password หลังจากกดปุ่ม submit แล้วใช้ javascript encode ค่าของ Form ก่อนแล้วค่อย post ไปหน้าปลายทางครับ
เมื่อหน้าปลายทางได้รับค่า ก็ค่อย decode ค่าด้วย php ออกมา จากนั้นเอาค่า user กับ password นั้นไปเทียบใน database ครับ

ต่อให้ไม่ได้ใช้ HTTPS แล้วถูกดักข้อมูลกลางทาง ผู้ดักข้อมูลนั้นก็ยากที่จะเข้าใจอักขระนั้น

** ต้นทางใช้ javascript encode ฟิวส์ user กับ password (จะไม่เหมือนกันทุกครั้งที่ encode อยู่ที่สูตรผสมของ function)
** ปลายทางใช้ php decode ค่าที่ส่งมา

function สำหรับ encode กับ decode ควรปรับแต่งสูตรผสมในแบบของตนเอง

Twenty-One · 16 สิงหาคม 2019, 09:22:26

เขียนเองธรรมดาก็พอครับ เขียน code ป้องกัน sql injection และ xss กับใช้ https ก็น่าจะโอเคแล้ว
เพิ่ม verfiy ด้วยยิ่งดี

zxcv · 16 สิงหาคม 2019, 10:12:56

ใส่ verfiy อีกชั้นครับ

market_online · 20 สิงหาคม 2019, 14:59:41

ทำโปรเจคยุ กำลังหายุครับ