维基百科的PHP登录系统:值得信任？

Question

有没有人读过维基百科对PHP用户认证系统的描述？http://en.wikibooks.org/wiki/PHP_Programming/User_login_systems

是不是很好？安全吗？对，是这样?

Answer 1

有许多方法可以实现用户身份验证系统，因此它实际上取决于您需要什么。对于简单的身份验证，这个看起来还可以。

但是，请注意他们编写的以下代码：

$db = new Database(); // Database abstraction class.
$email_address = $db->esc($_POST['email']);
$password = $db->esc($_POST['password']);

这段代码中最重要的是Database abstraction class。它没有链接在页面上，也许在其他我不知道的地方，但这个类最重要的部分是对$db->esc()的调用，它可以转义并可能清理用户输入。非常重要的一点是，在不清理用户输入的情况下，不要对数据库进行任何调用，以避免SQL injections。

通常，"esc“等效项将使用addslashes。但请务必阅读注释，其中指出您应该根据所使用的数据库(如用于MySQL的mysqli_real_escape_string )来指定数据库转义函数。数据库抽象类对于这类东西非常有用:)。

Answer 2

我认为wikibooks页面是对PHP登录系统的合理、低级(也就是没有库)的描述。缺少了很多东西，但其中的内容是完整的。但话说回来，我有偏见。;-)