защитой сайта

[anarki]

помогоите с защитой сайта
как можно защитить сайт от брутфорса.
читал что от брутфорса можно сделать защиту если

1.сделаь задердку при открытии сайта появляется страница с таймер к примеру на 5 сек, потом появляется страница с изображением верификации а потом токо открывается сайт . Токо вот нигде невидел подробных примеров как это сделать.

и есть еще какие защиты сайта от взлома и атак?

Вообще как я понимаю вероятный противник использует робота-брутфорсера, т.к. вручную перебирать пароли очень долго и нудно.
При процессе аутенфикации поставить хорошую капчу и все, тогда роботы-брутфорсеры не смогут разгадать ее и отправить сгенерированный пароль
Вот тут подробнее расписано:
Для просмотра ссылки Войди или Зарегистрируйся

Если же чел подбирает пароли, то банить по ip или еще чему-нить, вариантов достаточно, кукисы писать, а на сайте проверять есть ли такой кукис, если да, до выдавать пустую страницу или что-нибудь еще.

 

[AeroWave]

А если куки очищаются каждый раз?
А если сессия закрывается каждый раз?
А если...
А если...
Каптчу поставить нужно по-любому, но если чел настойчивый и умный, который сделает определение каптчи, то можно попробовать рисунок и шрифт менять каждый раз при генерации каптчи.

 

[Slayter]

Фигней вы страдаете, не с той стороны защищаете. одна sql-inj и никакая защита, никакой пароль на 14 фицр не поможет...

ну судя по этому высказыванию знаний у тебя едва ли хватит на ноль

умные люди используют собственные классы для работы с бд при разработке которых учитываются все неприятные моменты. и обычный mysql_real_escape_string остановить **х все твои амбиции.

 

[anarki]

А если куки очищаются каждый раз?
А если сессия закрывается каждый раз?
А если...
А если...
Каптчу поставить нужно по-любому, но если чел настойчивый и умный, который сделает определение каптчи, то можно попробовать рисунок и шрифт менять каждый раз при генерации каптчи.

Один раз сделать сложную капчу и не парится или использовать готовые скрипты. Написать алгоритм распознавания сложной капчи сама по себе задача не из простых, врядли кто-то будет этим заниматься, а готовых решений по распознанию в свободном доступе нет.
А для упорных и вычищающих все и вся - банить по ip с проксями трабл тоже достаточно.
Человек просто может понять, что зря тратит время и уйдет с сайта, упорства не хватит