Przechowywanie hasła Opcje

[markas]

Na ile bezpieczne jest przechowywanie loginu i hasła w taki sposób.

Mam plik, który w odpowiednim miejscu w skrypcie wywołuję funkcją include, a w nim:
<?
$login="aaa";
$haslo="bbb";
?>

A przy okazji. Czy poniższy zapis w pliku da się podejrzeć z poziomu przeglądarki ?

<?
jakiś tekst
?>

Plik ma oczywiście rozszerzenie *.php lecz nie ma w nim zadeklarownych żadnych zmiennych jedynie tekst.

Dzięki za pomoc !

[dragossani]

Hasło lepiej przepuść przez funkcję md5 i dopiero wtedy zapisz w pliku. Tylko pamiętaj, żeby potem przy porównywaniu przepuścić z kolei przez md5 to co wklepuje user w oknie logowania.

[kossa]

zawartosci pliku php nie podejrzy sie w przegladarce

Kossa

[Jabol]

CZemu wszyscy używają md5? Nie wiem czy wiecie jest jeszcze coś takiego jak sha1( ), oraz np. mhash( ). Co myślicie o tym??:arrow:

Kod

$uname=$_POST['user'];

$pass=$_POST['pass'];

$haslo_do_przechowania=mhash(ktoras_z_wielu_opcji, $pass, $uname);//nie wiem czy wiecie, ale mhash pozwala generować hashe za pomocą klucza (w tym przypadku $uname). A ktoras_z_wielu_opcji to może być np MHASH_MD5 lub MHASH_TIGER

[itsme]

zawartosci pliku php nie podejrzy sie w przegladarce

Kossa

niestety da rade za kazdym razem widzimy skrytpty php w postaci wyniku ich dzialania

[b]NIE DA RADY ZOBACZYĆ KODU ŹRÓDŁOWEGO PLIKU *.php Z POZIOMU PRZEGLĄDARKI
jedyny sposób to wlamanie sie na server

dziekuje
ps moze jakies motto z tego ulozyc ?

[Jabol]

[size=24]Zaawrtość pliku
Trza troszkę logiki!!! Przecież efekt działania nawet nie stoi koło (no może w pamięci wirtualnej) pliku, a co dopiero, żeby był jego zawartością!!! A to, że widzisz w przeglądace domena.pl/index.php to tylko przypadek, gdyż dokument jest generowany przez serwer i nazwa oraz plik są wysyłane zupęłnie oddzielnie!!!

[itsme]

wiem ale emocje ..... ide spac bo juz gup000ty pisze

[msulik]

Nigdy nie mów "nigdy" :mrgreen: Przeczytałem w mądrej książce, że jeśli coś padnie na serwerze (np. interpreter php czy cuś), to może wywalić kod php do przeglądarki :mrgreen: Było to podane w kontekście includowania pliku z hasłem do bazy danych - o ile to możliwe, należy go umieszczać powyżej katalogu public_html (co sam czynię ).

[dragossani]

Msulik ma rację. Jeśli w plikach hasła są w postaci zaszyfrowanej i leżą poza strukturą katalogów dostępnych przez apache'a to możemy spać dużo spokojniej.

[Cod]

Sluchajcie: Jesli na serwerze nie ma obslugi php to przegladarka po uruchomieniu pliku .php pokaze caly jego kod. W takim razie, jesli cos by sie zwalilo na servie obslugujacym php, czy mozliwa jest sytuacja zeby przgladarka wyswietlila plik tak, jakby nie bylo w ogole php? (Ktos o tym pisal, ale nie dostalismy odpowiedzi). Prosze o wypowiedz kogos, kto sie zna .

A co do haslowania, co jest lepsze: includowanie pliku .php z niezakodowanym haslem, czy zapisywanie niezakodowanych hasel w bazie danych?

[DeyV]

1. Co prawda odpowiedź się poajwiła, ale powtórzę. Tak. Jest to możliwe. Niestety. Choć mi się jeszcze nigdy nie zdażyło (może po prostu mam dobrego dostawcę )
2. Najlesze jest niezapisywanie niezakodowanych haseł. Jeśli konieczna jest możłiwość wglądu do nich, to warto zastosować któryś z odwracalnych algorytmów kodowania. Zaróno MySQL jak i php oferuje nam sporo możliwości. Ostatecznie jednak uważam, że bezpieczniejsze są w bazie danych. Szczególnie jak zablokowany jest dostęp do bazy danych z innych hostów (poza localhostem).

[rommeo]

Zawsze możesz zakodować hasło również w bazie danych i dopiero robić weryfikacje na stronie po uprzednim wybraniu danych z bazy, ja tak robie i nic sobie z tego nie robie....