登录验证算法

Question

我知道有一个-

SELECT * FROM log_records WHERE 'username'=uname AND 'password'=pass;
if(row_count==1)
    return true;
return false;  

问题如下：

• 上述算法是“最佳实践”吗？
• 有什么替代上述算法的方法吗？

谢谢!

Answer 1

这不是最佳做法。

首先，只有当用户名和密码未加密时，

• 才能工作。
• 第二，对于SQL注入，它是无可救药的粗俗，我可以在大约3秒内用该SQL语句窃取您的所有用户凭据。

从这里开始获取最佳实践：https://www.owasp.org/index.php/Guide_to_Authentication

您最好的选择是为您正在开发的任何环境使用现有的成员资格提供程序，而不是构建您自己的，或者更好的是使用OpenID或类似的机制。

即使OWASP文章太深入，请至少阅读以下内容：http://www.codinghorror.com/blog/2008/05/openid-does-the-world-really-need-yet-another-username-and-password.html

这个：http://www.codinghorror.com/blog/2007/09/youre-probably-storing-passwords-incorrectly.html

最后一次编辑

当我发现上面这两篇文章时，我真的在寻找这篇文章：http://www.codinghorror.com/blog/2010/12/the-dirty-truth-about-web-passwords.html

Answer 2

你可以这么做..。

SELECT `id`, `password` FROM `log_records` WHERE `username` = uname

当然，假设uname是通过正确的转义机制绑定或转义的。

如果没有行，您就会知道用户不存在。

然后，您可以将用户提交的密码与此用户的密码进行比较。

然后，您可以在内部记录此失败登录的详细信息。

记住，不要告诉最终用户哪个失败了。使用一些通用的内容，例如用户名和/或密码组合不匹配。

Answer 3

这是一种有效的做法。它没有包含在你的帖子中，但我认为这是一个加密版本的实际密码？

上面的语句确实要求用户名是唯一的，但它通常是唯一的。

附带说明的是，上述声明不必区分大小写。一些数据库比较文本数据的文本格式，而不是位格式。这将意味着登录密码'MyPasSworD‘将工作，但'mypassword’也将工作。