Удаление сохраненных неудачных попыток несуществующих пользователей при регулировании входа

Регулируя логин,

Необходимо ли вставлять неудачные попытки несуществующего пользователя в базу данных?
Если никакие действия не предпринимаются, не может ли кто-нибудь угадать существующие имена пользователей в базе данных, когда для них происходит регулирование, а не несуществующие, не является ли это угрозой безопасности?

Если это необходимо, как я должен справиться с их удалением, когда риск ниже?

//If the username does not exist do the below:

<?php
$stmt= $conn->prepare('SELECT * from failed_logins WHERE name="'.$_SESSION["Name"].'"');
$stmt->bindParam(1, $name);
$stmt->execute();
$stmt->setFetchMode(PDO::FETCH_ASSOC);
while($row = $stmt->fetch()) {
$attempted = $row['attempted'];
}
$atime = strtotime($attempted);
$current = time();
if(($current-$atime) > 1500) {
$del= $conn->query("DELETE FROM failed_logins WHERE name = '".$_SESSION['Name']."'");
$del->execute();
}
?>

1

Решение

С точки зрения безопасности, вы должны абсолютно ограничить количество неудачных попыток входа в систему на пользователя. Если вы этого не сделаете, вы серьезно подвергаете свой веб-сайт атаки грубой силы. Например, после 3 неудачных попыток входа в систему заблокируйте пользователя на 24 часа на основании его IP-адреса.

Я бы не стал удалять какие-либо данные, связанные с неудачными попытками входа в систему ради судебное расследование например, вы можете выступать периодически каждые 6 месяцев.

0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]