Tecnología

Inicio

PHP y MySQL Entrar Seguridad

August 30

Muchos sitios utilizan unas páginas Web basadas en PHP para acceder a la información almacenada en una base de datos MySQL, tales como sitios de comercio electrónico o tablones de anuncios. Ningún sistema de seguridad es impecable. Sin embargo, al crear un sitio web que utiliza un formulario PHP y MySQL entrada, incluyen características de seguridad, a partir de las cuentas de usuario para el cifrado de la información de los registros de intentos de inicio de sesión. Esto no sólo ayuda a prevenir los ataques en línea, pero también puede ayudar a mejorar la seguridad de su uso de notas detalladas si es que su sitio ha sido hackeado.

De usuario y contraseñas

Muchas empresas están exigiendo cuentas de usuario a tener contraseñas "fuertes". La definición de una contraseña segura varía, pero generalmente incluye una combinación de letras mayúsculas y minúsculas, los valores numéricos y caracteres especiales. Esto hace que sea más difícil de adivinar contraseñas. Cuando un usuario intenta acceder a su base de datos MySQL a través de un formulario PHP y falla, no ser específico acerca de la razón de por qué fracasaron. Basta con indicar al usuario que el inicio de sesión no tuvo éxito. De esta manera no están dando información adicional a los posibles piratas informáticos.

Cifrado de datos

Si mantiene una base de datos con información de acceso de usuario, asegúrese de cifrar los datos. Dejando nombres de usuario y contraseñas sin cifrar es arriesgado, especialmente si una persona no autorizada pueda acceder a su base de datos. PHP tiene una función llamada "sha1 ()", que convierte una cadena como una contraseña a su valor hash SHA-1. Guardar este valor en MySQL. Cuando un usuario intenta iniciar sesión a través de PHP, puede utilizar la función sha1 () para convertir la contraseña a SHA-1 y compara su valor con el que está en la base de datos. Los hackers que acceden a la base de datos no verán los mismos contraseñas reales.

Funciones PHP

Manejar errores de PHP en una manera que mantiene la información al usuario en un mínimo. Por ejemplo, utilizar el símbolo "@" antes de la función PHP llama, así como el "die ()" función - por ejemplo, "@mysql_connect (...) or die (" No se pudo conectar ");" - Por lo que si esa función no se puede ejecutar por alguna razón, el usuario ve un mensaje de error que desea que ellos vean, no uno que proporciona más información que él necesita saber. Además, cuando la transmisión de información como nombres de usuario y contraseñas de una página PHP a otra, utilice la función de PHP "$ _POST" para mantener la información invisible para el usuario en lugar de la función "$ _GET", que lo muestra en la barra de direcciones.

Registros de MySQL

Al supervisar la información de inicio de sesión, el mantenimiento de registros de datos se puede recorrer un largo camino en el seguimiento de las cuestiones de seguridad y ayudar a indicar los agujeros. Cuanta más información se conecte, mejor se puede corregir los problemas. Como mínimo, realizar un seguimiento del número de veces que una persona se conecte a un sistema y sello de al menos el último registro en el intento con la fecha y la hora, y guardar esta información en una tabla de MySQL. Restringir el acceso a sus registros, así, lo que limita el número de personas que pueden ver o modificar ellos.