PHP中的身份验证/访问控制

Question

不久前，我创建了这个基于网络的台灯。当时我编写了自己的用户身份验证和访问控制系统。它检查用户是否使用正确的密码登录，以及他/她是否具有访问给定页面的正确权限级别。状态信息通过PHP会话来处理，而用户名、盐渍、散列密码和用户级别则存储在MySQL后端中。所有的用户输入都是消毒的等等。用户必须访问站点使用SSL。

问题是，我开始怀疑自己，并变得偏执的安全。所以我在寻找改进的方法。

你能给我一些建议吗：

• 我可以实现和运行的一些全面的安全测试列表
• 实现这类系统

的最佳实践

是否有一个健壮的开源框架或库集，您可以建议使用一个国产的框架或库集？传统观点认为，采用成熟的、经过测试的系统通常比从头开始编写自己的系统要好。你有什么推荐的？

Answer 1

1)既然您已经从头开始编写了自己的代码，我就不会浪费您的时间和精力来集成一个新的外部开源框架。其他人编写的代码可能没有必要比您的代码更好，而且您可能不完全了解如何正确地集成它，因此您可能会给应用程序添加更多的安全漏洞。

2)这是一本好的、简短的3页指南(遗憾的是，它是意大利语的，但您可以使用Google翻译器工具栏来翻译所有页面)，因为您说您似乎不是PHP编程的newby，我会这样说：

• 在处理DB
• php.ini配置时至少使用addslshes (或mysql_real_escape_string)清除输入(但您说了)
• ：REGISTER_GLOBALS应该离开
• ，注意如何设置ERROR_REPORTING，当遇到错误

时，它可能会打印出私有数据

Answer 2

Zend框架内置了身份验证，尽管Zend往往有点臃肿。只使用Zend的比特和片段是可能的，但我从未尝试过只使用身份验证位。

在PEAR::Auth中也有几个身份验证库，这是一个稳定的版本，而PEAR::LiveUser是beta版本，最后一次发布是在2008年。

我希望这能给你一个好的开始。