Здравствуйте, подскажите пожалуйста. Вот у меня на сайте самая главная страница это форма входа. Где пользователь вводит логин и пароль (сам не регистрируется, его регистрируют другие пользователи), и я задумался о том, как можно защитить эту форму входа, просто вдруг кто нибудь туда SQL Инъекцию засунет ?
Были мысли по поводу валидации, типа если там допустим в пароле или логине есть такие строки как "SELECT или DELETE" то ошибку выдавать. Подскажите пожалуйста что вы думаете по этому поводу ? И какие есть варианты ? Заранее благодарю
Комментарии
Друпал изначально защищён от угроз такого типа, чтобы разработчики не задумывались, даже если пользователя зовут ";DROP TABLE users;"
Брутофорс тоже не сработает. После 5ти неудачных попыток входа, гость блокируется по ip-адресу на пол часа.
Понял, спасибо, ну от бутфорса ставил модуль Flood control, тут можно настроить просто количество попыток и время блокировки, для IP и для username
Паранойи много не бывает, поэтому добавлю ссылок:
BOTCHA
Honeypot
Fail2ban
Reset Link Timeout
Password Policy
Restrict by IP