Hola buenas!
Bueno estaba haciendo un login para mi web con php, mysql.
Bueno por ejemplo:
<form action="/index.php" method="post"> <input type="text" name="usuario" value="Nombre usuario" onClick="this.value=''"> <input type="password" name="clave" value="Password" onClick="this.value=''"> <input type="submit" name="enviar" value="Enviar">
compruebo que si $_POST['enviar'] tiene valor, cogo $_POST['usuario'] y $_POST['clave'], envio la consulta a la db, si me devuelve algun resultado, creo una session, sino muestro el típico error.
Entonces cualquier persona malintencionada que vería el login de mi web, podría ver los nombres de los campos que uso para enviar el usuario, password (en el fuente html), el error que muestra al no hacer login, hacerse un pequeño script en perl o en lo que sea y enviar valores mediante peticiones POST a los campos hasta obtener usuario, password...
Soluciones??
pues sí, se podría usar captcha, una tabla en la db que guarde los logins fallidos por ip, si hace 3 o los que sea bloquee la ip y tal...
Alguien sabe hacerlo de otra forma y que sea seguro?
Un saludo y gracias de antemano...