密码发布的最佳做法是什么?
问题描述:
我目前正在开发一个需要登录的小型内部PHP应用程序。凭证将使用LDAP进行验证,但我想知道通过表单传递AD用户名和密码有多安全?密码发布的最佳做法是什么?
验证页面代码:
<?php
// using ldap bind
$ldaprdn = $_POST['username'];
$ldappass = $_POST['password'];
// connect to ldap server
$ldapconn = ldap_connect("SERVERNAME")
or die("Could not connect to LDAP server.");
if ($ldapconn) {
// binding to ldap server
$ldapbind = ldap_bind($ldapconn, $ldaprdn, $ldappass);
// verify binding
if ($ldapbind) {
echo "LDAP bind successful...";
} else {
echo "LDAP bind failed...";
}
}
?>
答
使用
- HTTPS
- 邮政/重定向/获取
- 确保您的实用程序不连接到Internet,只有您的Intranet
- CSRF保护
- Don不会将此信息存储在Cookie,文件等中。
您是否在使用SSL? – j08691 2012-07-10 15:28:29
@ j08691目前没有,但我一直在调查。 – Amaerth 2012-07-10 15:29:57
是的,考虑使用SSL证书来加密连接。 – Mahn 2012-07-10 15:30:23