Hvordan sjekke om innlogginsscript er sikkert?

[xibriz]

Jeg har ett innlogginsscript i php som skal ut på det store internett. Er det noen måte å sjekke hvor sikkert det egentlig er?

 

Scriptet autentiserer mot en mysql-database med mysqli, bruker prepared statements for å hindre injection.

Scriptet autentiserer også mot en domeneserver (AD) med LDAPS (kryptert ldap).

 

Kanskje noen vil prøve seg?

 

EDIT: Kan nevne at jeg bruker vanlig MD5 for kryptering av passord i mysql-databasen.

Kan også nevne at siden vil blir kryptert (https).

 

EDIT2: Kom på at jeg ikke bruker captcha, det tror jeg nesten at jeg må legge til.

Endret 28. juni 2010 av xibriz

[Webhjelp]

Kanskje du kan legge ut en link til dette innloggingsystemet, slik at vi kan prøve det ut?

[Sk!ppy]

md5 er ikke særlig sikkert, bruk ivertfall sha512, og kombiner med brukernavn ( sha512($pass.$user.$pass); )

[xibriz]

Takk for tilbakemeldingen Jeg skal endre krypteringen på de som har md5.

 

Jeg kan sette opp en testside i løpet av dagen, men det blir uten autentisering mot AD kun mot MySQL, siden jeg ikke har noen ekstern webserver med det riktige sertifikatet for å få LDAPS.

 

Men jeg regner med at autentisering mot MySQL er lettest å knekke? Etter 3 feile forsøk blir jo en AD-bruker stengt automatisk.