[PHP]Bezpieczeństwo podstrony Opcje

[shark121]

Mam jedno krótkie pytanie odnośnie zabezpieczania dostępu dla niepowołanych osób do jednej z podstron. Mianowicie, zrobiłem inputa do którego należy wpisać hasło dostępu, które następnie porównywane jest z hasłem ustalonym przeze mnie. Jeśli oba hasła będą się zgadzać użytkownikowi zostanie wyświetlona dalsza zawartość. Nic z mysql, samo php. Czy jest to bezpieczne?

Ten post edytował shark121 17.03.2009, 13:57:23

[zzeus]

kodowane md5() (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[shark121]

niestety tego nie wiem, ponieważ taki system zabezpieczeń do panelu administracyjnego posiada pewna strona, a ja próbuje ich przekonać że nie jest to najbezpieczniejszy sposób ochrony

[Spawnm]

a dane przesyłane get czy post?
jak get to nie jest bezpieczna (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[shark121]

nie no jasne, że POST (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[ostrylg]

A gdzie przechowujesz ustalone przez siebie hasło ?

[shark121]

czytaj mój ostatni post, hasło najprawdopodobniej jest w zmiennej i jest tylko porównywane

[krowal]

W sumie to jest tak samo bezpieczne jak sprawdzanie danych z bazy. W końcu nie poznasz hasła dopóki nie będziesz miał dostępu do plików na serwerze. A jeśli masz dostęp do plików na serwerze to równie dobrze możesz całkiem wyłączyć sprawdzanie poprawności hasła i wtedy już nie ma znaczenia czy jest to hasło pobierane z bazy czy przechowywane w zmiennej (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Spawnm]

ale jeśli hasło jest w bazie i dane do pokazania są w bazie to zwykły LFI nie wystarczy do odczytu info (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)
Tyle że pojawia się zagrożenie ataku sql injection (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)