Sto programmando un sito PHP che consente agli utenti di registrarsi e gli utenti registrati e non registrati possono inserire i rispettivi nomi utente e password (ad esempio smith8h4ft
- j9hsbnuio
) per il sito della scuola.PHP - crittografare il nome utente e la password dell'altro sito
Poi, il mio script PHP invia alcuni $_POST
variabili, download e analizza la pagina marchi, rendendo un array di nome: marksDB = Array("subject" => Array("A", "B", "A", "C"), ...)
, e lo scrive riformattato.
La mia domanda è: Come dovrei mantenere il nome utente e le password al sicuro?
Per gli utenti non registrati, attualmente dimentico nome utente e password e inserisco marksDB
in $_SESSION
. Quando l'utente è inattivo per es. 30 minuti, contrassegniDB è cancellato. Quanto sono sicuri questi dati in $_SESSION
? E che dire degli utenti che accedono, visualizzano la pagina una volta e non la visualizzano mai più, quindi lo script non cancella gli indicatoriDB dalla sessione? La sessione viene cancellata automaticamente (gc.maxlifetime)?
E per quanto riguarda gli utenti registrati? Voglio avere tutto al sicuro, ma non voglio infastidire l'utente con richieste di password ogni 30 minuti di inattività. È sicuro crittografare credenziali come descritto in here, ma senza la terza password impostata dall'utente? Oppure devo chiedere all'utente la sua password ogni volta?
EDIT:
Grazie per le risposte veloci,
@Justin ᚅᚔᚈᚄᚒᚔ: dubito che abbiano alcune API, ma li posso chiedere, solo per caso
@Abid Hussain: Grazie per i link molto utili . (Grazie anche per le risposte).
Lancerò via le credenziali degli utenti e ho solo analizzato lo markDB
, che probabilmente getterò anch'io (dopo il logout o l'inattività) - è economico recuperare nuovamente i segni quando necessario.
L'unico grande rischio qui è il dirottamento di sessione, IMO. È possibile rigenerare l'ID di sessione quando viene modificato il privilegio. – Leri