Quiero escribir scripts de inicio de sesión para los sitios web de los clientes para hacerlos más seguros. Quiero saber qué mejores prácticas puedo implementar en esto. Hay abundantes paneles de control protegidos por contraseña, pero muy pocos parecen implementar las mejores prácticas en términos de escritura de código, velocidad y seguridad.
Estaré usando PHP y una base de datos MySQL. Solía usar PBKDF2 y bcrypt para el hashing. Yo uso MVC para el patrón de diseño.
Algunos scripts de inicio de sesión registran la dirección IP durante la sesión o incluso el agente de usuario, pero quiero evitarlo ya que no es compatible con los servidores proxy.
También estoy un poco por detrás de las mejores prácticas para usar sesiones en PHP 5, por lo que algunas prácticas recomendadas con esto serían útiles, y también un ejemplo sería muy útil.