|
|
1
4
首先,不要锁定一个帐户,如果有人达到上限提示他们 reCaptcha
您不能使用
数一数案件的数量,如果超过3起,那么禁止该ip。您可以围绕远程地址执行mysql\u real\u escape\u string(),但实际上该值是直接从apache的TCP套接字中提取的,攻击者无法控制该值,除非他可以毒害您的变量名称空间(这可以通过
编辑:
|
|
2
1
会话变量有一个缺陷,即它们只需要拒绝cookies,然后就可以被豁免。 最好在数据库中用userid创建一个表。
假设表格等,但应该给你一个好的开始/如何处理它的想法。每次登录失败时,您都必须插入一个条目。 编辑:
已将用户添加到where子句,抱歉,忘记了。 澄清: 是的,锁定应该或多或少的(重新)验证码现在需要访问它的下一次登录尝试帐户。 |
|
|
3
0
赢得美人归 建议)或将登录尝试保存在数据库中(例如,如果您想在多次输入错误密码后临时阻止帐户) |
|
|
4
0
首先,使用会话来防止人们强行输入密码是个坏主意。会话依赖于cookie,如果每次尝试时都忽略发送cookie,服务器每次都会创建一个新会话,并且无论使用的脚本是什么,都无法停止任何操作。
|