Login mittels E-Mail: Wie bei der Registrierung geschrieben, sollte der Benutzer sich aus Aspekten der Benutzerfreundlichkeit mittels der E-Mail Adresse einloggen können. Gerne auch weitere Login-Mechanismen wie die von Facebook, Google oder Twitter anbieten.
Session Hijacking verhindern: Um Session Hijacking zu verhindern, solltet ihr nach der Überprüfung der E-Mail-Adresse und des Passworts die Funktion session_regenerate_id() aufrufen um so eine neue, frische Session ID zu erzwingen.
Übertragung des Logins per HTTPs: Um neugierige Ohren abzuwehren sollte der Login mittels HTTPs sicher verschlüsselt übertragen werden. Immer mehr User sind mobil auf ihrem Smartphone unterwegs, dort ist die Absicherung der Übertragung meistens besonders schlecht.
Anzahl der Login-Versuche überprüfen: Um Brute-Force-Attacken auf eure Mitgliederkonten zu vermeiden sollten fehlgeschlagene Logins protokolliert werden. Treten zu häufig fehlerhafte Logins auf, bietet es sich an die IP oder gar den Benutzer zu sperren. Aber Achtung, damit kann man auch schnell legitime Nutzer verprellen die ihr Passwort vergessen haben und verschiedene Kombinationen ausprobieren.
Zum Inhalt springen