1
die Login-Throttling,Löschen gespeicherter Versuche der nicht vorhandenen Benutzer ausgefallen, wenn Login Drosselung
Ist es notwendig, dass die gescheiterten Versuche eines nicht vorhandenen Benutzer in die Datenbank eingefügt werden? Wenn keine Aktion ausgeführt wird, kann niemand die vorhandenen Benutzernamen in der Datenbank erraten, wenn die Drosselung für sie stattfindet und nicht die nicht vorhandenen, ist das nicht ein Sicherheitsrisiko?
Wenn es notwendig ist, wie sollte ich damit umgehen, sie zu löschen, wenn das Risiko niedriger ist?
//If the username does not exist do the below:
<?php
$stmt= $conn->prepare('SELECT * from failed_logins WHERE name="'.$_SESSION["Name"].'"');
$stmt->bindParam(1, $name);
$stmt->execute();
$stmt->setFetchMode(PDO::FETCH_ASSOC);
while($row = $stmt->fetch()) {
$attempted = $row['attempted'];
}
$atime = strtotime($attempted);
$current = time();
if(($current-$atime) > 1500) {
$del= $conn->query("DELETE FROM failed_logins WHERE name = '".$_SESSION['Name']."'");
$del->execute();
}
?>
Danke für die Antwort, aber nicht halten alle fehlgeschlagenen Login-Daten in der Datenbank ein Problem, ich bin kein Experte, aber zu viele fehlgeschlagene Versuche in der Datenbank gespeichert würde mich mein System, Datenbank und andere Dinge kosten würde es nicht? – Serjio
Nein, das Speichern solcher Daten wird Sie in keiner Weise schädigen, solange Sie alle Ihre Daten bei der Ausgabe bereinigen. Es wird interessant sein, diese fehlgeschlagenen Versuche zu speichern, um zu sehen, wie sich Angreifer verhalten. Sie haben jedoch immer noch die Möglichkeit, sie zu löschen, wenn Sie feststellen, dass sie für Sie nicht mehr nützlich sind. –
@ Billal BEGUERADJ danke für die Antwort – Serjio