正如标题所说,基于PHP的会员系统最常见的安全特性是什么?我知道一些:
- mysql注射
- <
- 安全连接/gh>
- 加密密码和其他敏感数据。
还有什么?
Authentication != Authorization
可以在这里找到广泛的攻击列表:https://www.owasp.org/index.php/Category:攻击
一些方法:
- 代码功能滥用(不良编码) 数据结构攻击嵌入恶意代码(XSS)
- 认证的利用 注射
- 路径遍历攻击(include($_GET['file']))
- 协议操纵
- 资源耗尽(DOS/DDOS) <
- 资源操作/gh><
- 嗅探攻击/gh>
- 欺骗(饼干)
其他需要考虑的事情:
- 会话安全(如何设置会话变量?某人的会话ID会被窃取吗?会话固定可能吗?) 你的表单是否受到XSS的保护?
- 你有任何机制来防止暴力攻击,比如在X次尝试失败后锁定IP地址吗?您是否需要跟踪谁登录了给定的帐户?(例如,如果您的网站仅由居住在美国的人运行,如果有人从东南亚的IP地址登录管理员帐户,您是否应该收到通知?)
最低密码要求是必须的。同时,使用某种类型的验证码
这里有一个链接,显示了一些重要的安全问题:
链接不一定是安全特性,但系统的用户体验不应该令人困惑。大多数用户都看到了uname/word登录表单,有些用户看到了OAuth/OpenId。除此之外,你进入了一个需要确保你的意图清晰的世界。
我在这里列出了最常见的安全问题:流行的PHP CMS's?
它缺少授权!=身份验证问题按钮回答,所有反垃圾邮件保护你应该有,我确定还有一些我现在想不起来的东西。