我必须做一个基本的登录系统来保护页面,而且我无权访问数据库,因此我将用户名和密码存储在php页面中。
我的问题是,此登录系统是否可以阻止攻击?我需要它持有约1个月。
任何改善的消遣都将是有益的。 代码不在laravel中,即使它看起来像。 当然,用户名和密码将更改为更强大的内容。
提前谢谢。
<?php
class UserController {
private $username;
private $password;
private $isLoggedIn = false;
// Credentials
public function credentials() {
$credentials = array(
array(
"username" => "telekom",
"password" => "1234"
),
array(
"username" => "telekom2",
"password" => "1234"
)
);
return $credentials;
}
// Basic login
public function login() {
foreach ($this->credentials() as $credential) {
if ($this->username == $credential['username'] && $this->password == $credential['password']) {
Session::put('username', $this->username);
Session::put('password', $this->password);
$this->isLoggedIn = true;
}
}
}
// Get login status
public function isLoggedIn() {
return $this->isLoggedIn;
}
// Logout
public function logout() {
// Delete all sessions
Session::all();
redirect('/telekom/');
}
// Telekom
public function telekom() {
$form = new Form();
if (Input::get('logout') == 1) {
$this->logout();
}
// Post Data from login form
if (Input::has('username') || Input::has('password')) {
if (!$form->isCsrfValid()) {
$form->errors['CSRF'] = "CSRF Token";
} // CSRF protection is on, comment to disable
if (empty($form->errors)) {
$this->username = Input::get('username');
$this->password = Input::get('password');
// Check Login
$this->login();
if (!$this->isLoggedIn()) {
Session::put('login', 'Username and password do not match.');
} else {
redirect('/telekom/');
}
} else {
Session::put('login', '<p class="color-dark-red"><strong>Errors:</strong></p>
<p>' . $form->displayErrors($form->errors) . '</p>');
}
// Check if session has username and password
} elseif (Session::has('username') && Session::has('password')) {
$this->username = Session::get('username', false);
$this->password = Session::get('password', false);
// Check Login
$this->login();
}
}
}// EOF Class User
// Outside class
$user = new UserController();
// Outside class
if (!$user->isLoggedIn()) {
// display login form
} else {
// display protected content
}
?>
答案 0 :(得分:1)
我的评论越来越长,所以我只是将它们移到这里。我不建议您将用户名和密码放在同一个文件中。如果PHP无法处理页面,它将作为纯文本转储给用户。即使对于数据库连接(其中un / pwd几乎必须存储纯文本),大多数人都不会将信息放在同一个文件中。
您有几个选择:
创建一个单独的PHP文件来设置您的UN / PWD变量,将其置于无法从服务器外部访问的位置,并将其包含在index.php中。在这种情况下,当你要比较变量并让本地范围尽快转储它时,我不会包含该文件。
由于这是基本身份验证,因此您可以使用Apache's built in password authentication module。
答案 1 :(得分:0)
在我看来,当你不打算永远使用它时,这个解决方案足够安全。 我将检查您的Web服务器的设置 - 一些文本编辑器制作编辑文件的备份副本,如index.php~,index.php.bkp等。确保您的Web服务器是否不提供这些文件(如果有)。
答案 2 :(得分:0)
临时解决方案的问题在于它们从不是暂时的。
永远不要硬编码密码。一些原因是: