Voglio scrivere script di accesso per i siti Web dei clienti per renderli più sicuri. Voglio sapere quali sono le migliori pratiche che posso implementare in questo. Ci sono pannelli di controllo protetti da password in abbondanza, ma pochissimi sembrano implementare le migliori pratiche in termini di scrittura del codice, velocità e sicurezza.
Userò PHP e un database MySQL. Usavo PBKDF2 e bcrypt per l'hashing. Io uso MVC per il modello di progettazione.
Alcuni script di accesso registrano l'indirizzo IP per tutta la sessione o anche per l'agente utente, ma voglio evitarlo poiché non è compatibile con i server proxy.
Sono anche un po 'indietro rispetto alle best practice per l'utilizzo delle sessioni in PHP 5, quindi alcune migliori pratiche con questo sarebbe utile, e anche un esempio sarebbe molto utile.