浅谈PHP安详类型

暴力列举进攻，处事端没有在靠山配置错误次数上限和相干校验，就会给进攻者暴力列举用户可能基于字典的暗码暴力破解。以是正确的代码编写类型必要划定允许的错误实行次数，高出这个值就会锁定账户一个界说长的时刻。这里必要明晰，光插手一个随机的token就想停止Brute Force是相等稚子的，进攻者通过python脚原来抓取页面的token，就可以完全绕过，这也是high品级所犯的错。这里就不展示，只列出impossible品级和low 品级的代码，供比拟阅读：

(1) Low level

<?php  
 
if( isset( $_GET[ 'Login' ] ) ) {  
    // Get username  
    $user = $_GET[ 'username' ];  
 
    // Get password  
    $pass = $_GET[ 'password' ];  
    $pass = md5( $pass );  
 
    // Check the database  
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";  
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' );  
 
    if( $result && mysql_num_rows( $result ) == 1 ) {  
        // Get users details  
        $avatar = mysql_result( $result, 0, "avatar" );  
 
        // Login successful  
        echo "<p>Welcome to the password protected area {$user}</p>";  
        echo "<img src="{$avatar}" />";  
    }  
    else {  
        // Login failed  
        echo "<pre><br />Username and/or password incorrect.</pre>";  
    }  
 
    mysql_close();  
}  
 
?> 

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!