问题 请批评我的PHP身份验证工作

简短回答：看起来不错！

答案很长：

1. 是的，您应该允许更强/更长的密码，否则这是可以的。只需确保您只接受有效的网址部分字符（我会坚持使用PCRE字符）作为网站名称。但是，“验证此电子邮件”系统是合适的，以确保注册人实际控制提供的电子邮件地址。
2. 看起来不错。不过，我比shad更喜欢sha1。
3. 只要您的会话是安全的，您可以存储的不仅仅是用户名（对于每个页面请求，这将是一个相当昂贵的SQL查找 - 继续存储他们的PK）。
4. 看起来不错，但应根据我在＃3中的评论进行调整

要确保正确处理会话安全性，请检查 PHPSec指南。

• 限制登录时的速度。记录用户的每次尝试，并在经过多次失败尝试后将其锁定。当失败的尝试安装时，锁定越来越长。

• 在代码中添加一个静态的salt，并将其与数据库中的salt结合使用。然后，如果你的数据库被黑客入侵，他们仍然没有代码中的salt。这种盐不能/不应该改变。

• 用户可以检索密码/重置锁定吗？你需要收集挑战问题和答案。

• 当用户重置密码时，他们是否必须知道原始密码？

如果这是一个安全的网站，或只是一个跟踪某人的网站。我知道您可以从机器到机器登录的网站。它总是记得你，但只是一个论坛，所以麻烦的可能性很低。

为什么要加密代码以及数据库？ 一旦您的数据库遭到黑客入侵，您的网站就会被祝酒。然而，看到用户倾向于在许多网站上使用相同的密码，没有任何意义帮助破解每个人的财产。如果他们也得到你的代码，那么王室​​的拧紧就会发生，但是我们尽可能多地设置障碍。

通过默默无闻的安全是愚蠢的，但许多安全层可以提供帮助。

关于在会话中输入用户名 哈希用户名，网址和盐。将其存储在数据库和会话中。使用它作为身份验证，如果无效则将它们转储到登录。他们不能将cookie复制到另一个站点，他们不会公开他们的用户名，并且它会消除查询。

您甚至可以在每个X页面视图中重新生成该盐值并将其存储在会话中以使其过期，并且随着时间的推移窃取它不那么有用。然后，您将在数据库中存储两个盐。一个用于密码，一个用于验证会话值。

如果有人正在观看提交的注册表格，那么他们就会得到您所关注的信息。第一步：对表单使用HTTPS。

至于加密的数据库内容，我会让别人对此提出异议。 :-)

我担心的是有人可以写入会话，因此如果他们知道他们注册的用户名，就可以访问人们页面吗？你会如何防止这种情况发生？

我不确定你是什么意思。怎么会有人“写入会议”？会话[通常]是存储在服务器上的文件，客户端无法查看或修改该文件。

如果您担心会话劫持（也就是固定），那么您需要在URL字符串中启用SSL并禁用会话ID。 （见php.ini的 session.use_only_cookies）

4 - 在每个请求中，我使用会话中存储的用户名来查询数据库并读取与此用户关联的站点名称。然后我将它与url本身的站点名称进行比较，如果它们匹配，我设置一个可供其余或脚本访问的变量（不是全局变量，它只能由我的控制器读取，它决定用户是否可以看到特定页面）如果两个站点名称不匹配，则将用户重定向回登录

这听起来像是最大的担忧。网站名称是什么样的？你是如何将它与URL匹配的？正则表达式？

关于这方面的一些更多细节会很好，因为如果您的访问控制有缺陷，那么您的身份验证质量并不重要。

如果我得到正确的流量，那么如果我知道你的用户名和网站名称，请转到网站名称并给你一个带有用户名的cookie（因为会话，毕竟保存为cookie），我在 - 没有密码需要？这不是一个缺陷吗？