Sadece güvende olmak için, mevcut uygulamamda oturum açmak, oturum açma veya şifre sıfırlama yöntemlerine iletilen parametreleri saklamaz. İşlem kaydı çağrısı bunu kontrol eden isteğe bağlı bir parametreye sahiptir; true olarak ayarlandığında saklanan parametreler nesnesinin yerine geçer [Redacted]
. Tabii, bu yüzden biraz veri kaçırdım, ancak IP adreslerini aldım ve düz metinde hassas bir şey alma riskini almamayı tercih ederim.
Bu tür bir şeyi gerçekten günlüğe kaydetmek istiyorsanız, bir giriş yapma girişimini kaydederken, kullanıcı adınız ile neye sahip olduğunuzu gösteren bir adla eşleşen bir adı olan kullanıcılar için veritabanını kontrol etmenizi ve yalnızca bir eşleşmeniz varsa saklamanızı öneririm. Aksi takdirde, sadece "bilinmeyen kullanıcı" olarak saklarsınız. Bu değerin değeri olup olmadığını kontrol etmek hoşunuza gidebilir, ancak her zaman [User] [Şifre] ve [UserPas] [kılıç] gibi kombinasyonlar alma riski vardır, bu durumda IP'ye karşı kontrol edebilir ve yanlışlıkla birisinin şifresinin başlangıcını açıkta yanlışlıkla sakladınız. Mümkün olası ama-[User] bunu genişletmek olabilir [Şifre] ve [userPassword] [??], bu durumda "Kullanıcı tarafından Başarılı login" ardından "userPassword tarafından başarısız login" görmek ve çıkarabiliriz tümKullanıcının şifresi. Genel olarak, güvenli olmak için, oturum açma başarılı olmadıkça, kullanıcı adlarını kaydetmemeyi söylerim.
Eklemek için düzenleyin:
İnsanların başarısız oturum açma girişimleri için kullanıcı adını kaydetmek için gönderdikleri argümanların çoğu, bence, diğer yöntemlerle daha iyi ele alınmaktadır.
Örneğin, bir müşterinin "neden giriş yapamıyorum?" Diye sorduğunda, oturum açan kullanıcı adlarının yazım işaretlerini belirtmenize izin vereceği söylenir. Bu doğrudur, ancak şifreleri yakalama riskine de değmez; Bunu, başarısızlık durumunda kullanıcıyı tekrar giriş formuna yönlendirerek, kullanıcı adı alanını vurgulayarak ve kendileri için görebilecekleri şekilde yazdıklarıyla tekrar doldurarak yapardım.
Başka bir argüman hack girişimlerini tanımlamanıza izin vermesiydi; Bir kullanıcı adına karşı bir hata dizisi, bir şifreyi zorla girmeye çalışmak olabilir. Bunu, kullanıcılar tablosunda bir oturum açma bu kullanıcıyla eşleşen bir kullanıcı adıyla her başarısızlığa uğradığında artan bir artışla "BadLogins" sütununa sahip olarak yapardım ve başarılı bir oturum açma işleminde sıfıra sıfırlanır; x son girişinizden bu yana başarısız giriş denemesi "ve girişimlerin onlardan olmadığını düşünmeleri durumunda ne yapmaları gerektiği konusunda tavsiyede bulunmak. Gerçekten kapsamlı olmak istiyorsanız, başarılı oturum açtıktan sonra bile BadLogins sütununun son değerini depolayan başka bir sütuna ve / veya bu sütunun en yüksek değerine sahip bir sütuna ve / veya bir sütuna sahip olabilirsiniz. Bu hesabın sahip olduğu toplam başarısız oturum açma sayısını saklar.