• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Bezpieczeństwo formularzy/logowanie się na stronie

VPS Starter Arubacloud
0 głosów
168 wizyt
pytanie zadane 28 grudnia 2018 w PHP przez _Visni4PL_ Obywatel (1,320 p.)
edycja 28 grudnia 2018 przez _Visni4PL_

Witam! Mam kilka pytań o bezpieczeństwo formularzy/logowania się na stronie. Rozdzialanie ich na pojedyncze pytania myślę, że nie miałoby sensu, więc piszę w jednym, a zatem do rzeczy:

1) Czy funkcja password_hash() w PHP w zupełności wystarczy i hasło będzie bezpieczne w bazie danych czy trzeba np. dodać sól, pieprz czy zaszyfrować to z użyciem jeszcze innego algorytmu?

2) Co jest bardziej użyteczne, bezpieczne i lekkie: ASP.NET czy PHP? I co warto stosować na stronach?

3) Co jest bardziej skuteczne, przyszłościowe i bezpieczne: recaptcha v2 czy recaptcha v3?

4) Czy po wykonaniu zbyt dużej ilości zapytań przez użytkownika np. 50, 100, 200 w krótkim czasie powinno się zablokować go na stronie? Mówię o czymś takim jak ban na IP np. na 15 minut.

5) Czy weryfikacja logowania z użyciem

$_SESSION['logged'] = true;

jest bezpieczna i jest dobrym rozwiązaniem? Czy lepiej stosować inne metody?

6) Jak sprawdzić czy strona jest bezpieczna, nigdzie nie powoduje żadnych błędów, jest odporna na ataki i jest responsywna na większości urządzeń?

7) Edit: Jeszcze jedno pytanie bo zapomniałem, czy jeżeli zrobię coś takiego:

<!DOCTYPE html>
<html lang="<?php echo $_SESSION['lang'];  ?>">

<head>
 <?php
     require_once 'head.php';
 ?>
</head>

<body>

</body>

</html>

To strona będzie miała takie same SEO i zostanie dobrze zaindexowana przez przeglądarki, czy spowoduje to problemy? (moja strona będzie mieć 2 języki, a odpowiedni język będzie zapisywany do tablicy $_SESSION['lang'])

 

Zapraszam do kulturalnej dyskusji ;)

1 odpowiedź

+1 głos
odpowiedź 28 grudnia 2018 przez Ehlert Ekspert (212,630 p.)
  1. Password hash jest ok, sól nie jest potrzebna jeśli korzystasz z takich algorytmów jak bcrypt lub argon.
  2. Oby dwie technologie są tak samo bezpieczne jak niebezpieczne. Wszystko zależy od tego jak się pisze. 
  3. Tutaj się nie wypowiem ale najlepiej korzystać z nowszej wersji. 
  4. Trzymaj w sesji id usera. Symfony po zalogowaniu trzyma w sesji cały zserializowany obiekt usera. Ważne żebyś nie miał tam kluczowej logiki, haseł itp itd. 
  5. O responsywności się nie wypowiem. Co do bezpieczeństwa to raczej nie dowiesz się jeśli sam nie przeprowadzisz testów bezpieczeństwa.
komentarz 28 grudnia 2018 przez _Visni4PL_ Obywatel (1,320 p.)
Dziękuję za odpowiedź ;).

Podobne pytania

0 głosów
1 odpowiedź 518 wizyt
pytanie zadane 8 marca 2021 w PHP przez fff Gaduła (3,950 p.)
0 głosów
2 odpowiedzi 312 wizyt
pytanie zadane 12 lipca 2022 w JavaScript przez Doge Gaduła (3,320 p.)
0 głosów
3 odpowiedzi 350 wizyt

92,454 zapytań

141,263 odpowiedzi

319,099 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...