Удаление сохраненных неудачных попыток несуществующих пользователей при регулировании входа
Регулируя логин,
Необходимо ли вставлять неудачные попытки несуществующего пользователя в базу данных?
Если никакие действия не предпринимаются, не может ли кто-нибудь угадать существующие имена пользователей в базе данных, когда для них происходит регулирование, а не несуществующие, не является ли это угрозой безопасности?
Если это необходимо, как я должен справиться с их удалением, когда риск ниже?
//If the username does not exist do the below:
<?php
$stmt= $conn->prepare('SELECT * from failed_logins WHERE name="'.$_SESSION["Name"].'"');
$stmt->bindParam(1, $name);
$stmt->execute();
$stmt->setFetchMode(PDO::FETCH_ASSOC);
while($row = $stmt->fetch()) {
$attempted = $row['attempted'];
}
$atime = strtotime($attempted);
$current = time();
if(($current-$atime) > 1500) {
$del= $conn->query("DELETE FROM failed_logins WHERE name = '".$_SESSION['Name']."'");
$del->execute();
}
?>
Решение
С точки зрения безопасности, вы должны абсолютно ограничить количество неудачных попыток входа в систему на пользователя. Если вы этого не сделаете, вы серьезно подвергаете свой веб-сайт атаки грубой силы. Например, после 3 неудачных попыток входа в систему заблокируйте пользователя на 24 часа на основании его IP-адреса.
Я бы не стал удалять какие-либо данные, связанные с неудачными попытками входа в систему ради судебное расследование например, вы можете выступать периодически каждые 6 месяцев.
Другие решения
Других решений пока нет …