【发布时间】:2017-09-28 00:34:07
【问题描述】:
我正在使用php+mysql密码重置系统,步骤如下:
- 插入电子邮件表单
- 生成唯一哈希
- 读取哈希页面并授权重置
- 选择新密码
哪些步骤最能防止暴力攻击? 我的逻辑告诉我,我应该保护电子邮件表单和读取唯一哈希的代码页。 在电子邮件表单上实现此功能的原因是为了防止某人重复使用该表单来获取他知道系统中的地址 - 我认为这是非常合乎逻辑的,但我的问题主要是针对代码阅读器页面。 我是否应该根据 IP、会话甚至在短时间内从任何地方的总尝试来限制该页面? 什么是最佳做法,有任何可用的文档吗?
【问题讨论】:
标签: php mysql brute-force forgot-password