带PHP会话的sha256

Question

新的安全性，并想知道这种类型的登录有多安全？我并不是以任何方式保护任何银行/金融数据，而是试图保护一些不应该向公众公开的敏感数据。我只需要一个密码-没有正式登录做。

这是在一个名为access.php的文件中，其中包含一个密码输入字段。

<?php
session_start();
if (!isset($_SESSION['loggedIn'])) {
    $_SESSION['loggedIn'] = false;
}

// sha256() password 
$password = '13d249f2cb4127b40cfa757866850278793f814ded3c587fe5889e889a7a9f6c';

if (isset($_POST['password'])) {
    if (hash('sha256',$_POST['password']) == $password) {
        $_SESSION['loggedIn'] = true;
    } else {
        die ('That is the incorrect password - Please leave now');
    }
} 

if (!$_SESSION['loggedIn']):
?>

然后，我的index.php在页面加载时需要access.php。是否应该在公共目录之外进行访问？还有什么我应该考虑的吗？

Answer 1

新的安全性，并想知道这种类型的登录有多安全？

1. 沙-256:你使用了完全错误的工具来做这项工作。使用password_hash()和password_verify()：
   • 如何安全地存储密码
   • 为非专家解释密码学术语

​

1. 此外，SHA-256易受长度扩展攻击攻击.
2. 使用==比较散列有两个漏洞：
   • 定时攻击
   • 幻数散列比较 (更紧迫的关注)

​

所以，回答你的问题:不是很好。您的代码正在试图解决的问题是众所周知的安全专家，他们已经采取了他们的方式，使它简单的其他人解决它。这就是为什么password_hash()和password_verify()存在的原因。用它们。

尽管如此，欢迎来到软件安全。如果你需要一些额外的资源来帮助你的自我教育，看看这个应用程序安全读取列表。