Sql 如何安全登录用户
我只是想问一下,我是否做得对,或者在我朝这个方向前进之前停下来是否更好。我的网站上有一个管理区,我想使用数据库中的一个表来管理登录 当用户正确登录时,我会在sql表中写入用户名、会话id和从REMOTE_ADDR服务器变量获得的IP 当用户要求一个需要登录的私人页面时,我会在我的表中查找用户名,并按IP和会话ID进行过滤,这会返回当前用户的用户,例如在我的管理区域中询问“prices.aspx”页面Sql 如何安全登录用户,sql,security,session,login,Sql,Security,Session,Login,我只是想问一下,我是否做得对,或者在我朝这个方向前进之前停下来是否更好。我的网站上有一个管理区,我想使用数据库中的一个表来管理登录 当用户正确登录时,我会在sql表中写入用户名、会话id和从REMOTE_ADDR服务器变量获得的IP 当用户要求一个需要登录的私人页面时,我会在我的表中查找用户名,并按IP和会话ID进行过滤,这会返回当前用户的用户,例如在我的管理区域中询问“prices.aspx”页面 然后,我已在30分钟后将保存的记录删除。这够安全吗?这是让我的网站暴露于黑客攻击的好方法吗?如何
然后,我已在30分钟后将保存的记录删除。这够安全吗?这是让我的网站暴露于黑客攻击的好方法吗?如何提高安全性?如果您的站点可能被黑客攻击,那么您的登录系统如何工作并不重要。是什么阻止黑客获取你的数据
- 加密传输
- 不要在前端代码中显示数据库名称、文件名和密码
- 2步验证登录到您的网站和数据库
当你的网站第一次加载时,除非有人要求,否则永远不要加载管理员页面,然后让用户第二次给出他们的密码。如果登录的用户没有权限查看管理页面,那么甚至不要加载允许用户请求管理页面的HTML。如果不需要,不要重新发明轮子。实施
成员资格提供程序()或者在ASP.NET中使用默认值-我假设您正在使用默认值。请显示一些代码,我们将能够更好地提供帮助。@哎呀,在ASP.NET中使用默认值是什么意思?这在理论上听起来不错,但在实践中仍然可能会失败。@Gumbo是REMOTE\u ADDR正确使用的服务器变量吗?您好,我在每次限制区域页面调用中都会检查databaase的IP/会话,基本上我也在按照您所说的那样做,如果未经授权,也不会加载管理页面,我有一个字段来告诉您使用的访问级别。如果找不到IP和会话,或者找到的访问级别与请求的不同,则不会加载页面。然而,“两步验证登录到您的网站和数据库”是什么意思?听起来不错。一些公司提供通过文本、语音通话或移动应用程序向您的手机发送登录验证码的选项。您输入密码,然后等待验证码,然后输入验证码。因此,即使黑客猜到了正确的密码,他们也不能在没有验证码的情况下登录。在这种情况下,我们不再需要密码,它将作为互联网银行pin设备工作。