私はログインシステムを作成していますが、誤ったユーザー名とパスワードが与えられたときに数分間ログインしようとする人をブロックしたいとします。制限されたログイン試行
私はIPでそれをブロックする方法を知っていますが、それは例えばブロックを作成します。私がそこにいるなら、学校全体。 これで、ユーザーがアクセスをブロックするために入力したユーザー名を使用できましたが、入力されたユーザー名がデータベースに存在しない可能性があります。
私の質問は: 存在しないユーザー名を入力したユーザーのブロックを作成する方法を教えてください。 それにはどんな種類のデータベーステーブルが必要ですか?
また、私はセッションとクッキーを使用する可能性を探しましたが、セッションやクッキーを削除するために作成できるセキュリティ問題が残っています。
誰かが私を助けることができたら、私はそれを感謝します。
私は、99%有効な解決策を考えています。 IPアドレスでブロックすることは、大きなグループのユーザーをロックアウトする可能性があるため、良い考えではありません。また、誰かが彼らのIPアドレスを偽装することを望むならば、ユーザー名によるブロックは、特定のユーザーのパスワードを推測しようとしている場合にのみ有効です。セッション/クッキーはエンドユーザが簡単に削除できます。私はいくつかの方法の組み合わせを使用することをお勧めします:N回のログインに失敗した後のユーザー名をロックし、ユーザーが使用できる程度にセッションを使用し、多数の試行後にIPアドレスをブロックする可能性があります。 –