bezpieczenstwo Opcje

[invx]

mam takie 2 pytanka (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
1. czy POST jest na tyle bezpieczne ze mozna nim przesylac dane np. o zalogowaniu isera??
2. jak zabazpieczyc pliki przed otwarciem z poziomu przegladarki i/lub zeby nie mozna z nich bylo odczytac przez niepowolane osoby danych o hasle ale zebm ja je mogl potem odczytac czyli md5 odpada...

[FiDO]

1. czy POST jest na tyle bezpieczne ze mozna nim przesylac dane np. o zalogowaniu isera??

Zalezy o jakim bezpieczenstwie mowisz. Bo jesli zakladac, ze ktos jest w stanie przejac dane miedzy klientem a serwerem, to nie jest bezpieczny, bo dane nie ida zakodowane.

2. jak zabazpieczyc pliki przed otwarciem z poziomu przegladarki i/lub zeby nie mozna z nich bylo odczytac przez niepowolane osoby danych o hasle ale zebm ja je mogl potem odczytac czyli md5 odpada...

.htaccess lub rozszerzenie .php (czy inne ktore serwer parsuje jako php) zeby nie dalo sie otworzyc pliku z poziomu przegladarki.

[invx]

mam tylko rozszerzenie pliku dac na *.htaccess ?
dzieki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[halfik]

2. jak zabazpieczyc pliki przed otwarciem z poziomu przegladarki i/lub zeby nie mozna z nich bylo odczytac przez niepowolane osoby danych o hasle ale zebm ja je mogl potem odczytac czyli md5 odpada...

na Linuchach wystarczy ustawic odpowiednie uprawnienia na plik. Poczytaj sobie o chmod.

[kszychu]

Jeśli chcesz większego bezpieczeństwa to użyj ssl.

[FiDO]

mam tylko rozszerzenie pliku dac na *.htaccess ?
dzieki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Nie.... nie....

Albo rozszerzenie .php i w nim trzymasz haslo np. tak:

Kod

<?php



$haslo = "jakies_tajne_haslo";



?>

Jak ktos wpisze bezposrednio z przegladarki adres tego pliku to nic mu to nie da, bo plik zostanie najpierw sparsowany przez php, a ze nie ma tu zadnego echo czy print'a to nic nie zostanie wyslane do przegladarki.
Potem jak bedziesz chcial uzyc tego hasla to tylko robisz include tego pliku i masz haslo w zmiennej.

A co do .htaccess to jest to specjalny plik do konfiguracji niektorych opcji apache'a z poziomu dowolnego katalogu. Np. mozesz sobie ustawic zeby plik haslo.txt byl niedostepny z zewnatrz. O szczegolach mozesz poczytac w manualu lub na forum pod haslem htaccess. Niestety nie jest to opcja dostepna na wszystkich serwerach.

[invx]

no dobra ale jak w tedy pobiore dane z php do tablicy to sie sypnie bo jako pierwszy el. tablicy bedzie jakas linia skryptu php

[q]

no dobra ale jak w tedy pobiore dane z php do tablicy to sie sypnie bo jako pierwszy el. tablicy bedzie jakas linia skryptu php

tak jak napisal FiDO:

plik cfg.php (choc dla odroznienia go od innych plikow mozna dac np cfg.inc.php)

[php:1:80d54fff11]
<?php

$haslo = "jakies_tajne_haslo";

?>
[/php:1:80d54fff11]

Twoj skrypt np. index.php

[php:1:80d54fff11]<?php
include 'cfg.php';

print $haslo;

?>[/php:1:80d54fff11]

[invx]

ale na co mi index.php jak ja chce zabezpieczyc .txt (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

[arogancik]

a co t za różncia czy hasło bedziesz miał w pliku php czy w txt. jedyna jes taka ze jak koleś odwołasie do ieg prsez przeglądarke to ie zoabczy hasła (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[itsme]

a co t za różncia czy hasło bedziesz miał w pliku php czy w txt. jedyna jes taka ze jak koleś odwołasie do ieg prsez przeglądarke to ie zoabczy hasła (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

panowie jakis poziom swoich wypowiedzi trzymajcie bo ciezko sie czyta cos takiego

[hawk]

Kiedyś czytałem jakąś mądrą wypowiedź w której gość argumentował że samo trzymanie haseł w plikach php jest do kitu, bo serwer może się wysypać i serwować wszystko jako txt... takie wypadki podobno się zdarzają 8O .

Anyway, jedyny poprawny IMHO sposób ochrony ważnych danych przed użytkownikami "spoza" serwera to trzymanie ich w osobnym miejscu, do którego nie mają dostępu. Tzn nie w document_root serwera HTTP. Co zresztą powinno się tyczyć całego kodu php, który nie jest tam niezbędny, ale to swoją drogą :wink: .

A co ochrony plików przed userami tego samego serwera - bo nie wiem o co chodziło autorowi - jest znacznie gorzej, chociaż zależy od systemu. Na WinNT dałbym dla siebie full control, dla Apacha read. Na Linuxie albo read for all, albo owner: Apache. Serce się kraje na myśl Windows jest pod pewnym względem lepszy :-# Zawsze możesz trzymać w bazie, ale wtedy trzeba chronić hasło od bazy - błędne koło.

[lemac]

Ilisc metod zabezpieczen swiadczy o tym ze nie ma jednego najlepszego sposobu.
Ale stosowanie mieszanych metod zabezpieczen ( np haslo w bazie haslo do bazy w skompilowaniym czyms odpalonym w skrypcie cgi ) daje napewno wieksze bezpieczenstwo niz haslo w samym skrypcie ... czy czyms takim.
Generalnie metode trzeba dopasowc do uslugi.
chcesz wystawin kawalek muzy na haslo zrob plik z haslami .. , albo /.htaccess, wysylaj plik w headerach i zmianiaj nazwe aby nie rozwiazac(lub nie wpasc) linku bezposrednio do pliku.
A jak chcesz poufne dane wystawiac przez siec .... no to radzil bym pokombinowac (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)
Pozdrawiam
a i pamietajcie nie ma zabezpieczenia ktorgo nie da sie zlamac

[FiDO]

a i pamietajcie nie ma zabezpieczenia ktorgo nie da sie zlamac

To zlam SHA1 (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)