Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] zabezpieczenie strony
marcinek37
post
Post #1





Grupa: Zarejestrowani
Postów: 239
Pomógł: 0
Dołączył: 2.06.2011

Ostrzeżenie: (0%)
-----

witam,

1. zabezpieczyłem system wg wskazówek zawartych na stronach:
- http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP
- http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php
oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie
czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę?

2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych
jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5

następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji

czy to bezpieczne? czy może warto coś z tym zrobić?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
marcinek37
post
Post #2





Grupa: Zarejestrowani
Postów: 239
Pomógł: 0
Dołączył: 2.06.2011

Ostrzeżenie: (0%)
-----

1. racja
2. załóżmy, że hasło administratora to QWERTYUIOP - i tak to hasło mam mieć zapisane w bazie danych? czy zakodowanie md5 nie daje już kompletnie nic? zatem jakich innych zabezpieczeń mam użyć?
3. to tylko dodatkowe zabezpieczenie, które raczej nie obciąża zbytnio serwera
Go to the top of the page
+Quote Post

Posty w temacie
- marcinek37   [php] zabezpieczenie strony   22.10.2012, 12:51:27
- - nospor   1) Nie dwie sesje, a dwie wartości w jednej sesji....   22.10.2012, 12:53:34
- - marcinek37   1. racja 2. załóżmy, że hasło administratora to QW...   22.10.2012, 13:08:57
- - nospor   ad2) Była o tym mowa wiele razy. Jest nawet przypi...   22.10.2012, 13:10:26
- - Sephirus   Jak zwykle zgadzam się z przedmówcą Co do pkt. 2...   22.10.2012, 13:10:40
- - marcinek37   2. możesz po krótce powiedzieć, jak działa PHPass?...   22.10.2012, 13:20:18
- - Sephirus   Ślicznie EDIT: Co do PHPass pobierz go po prostu...   22.10.2012, 13:21:20
- - marcinek37   sprawdzę to PHPass 2. załóżmy, że hasło administr...   22.10.2012, 13:42:46
- - nospor   Cytat2. załóżmy, że hasło administratora to QWERTY...   22.10.2012, 13:44:05
- - marcinek37   przepraszam za problemy, nie zrozumiałem do końca ...   22.10.2012, 13:48:55
- - erix   A przeczytałeś przyklejone wątki na forum? Wyszuki...   22.10.2012, 14:39:11
- - marcinek37   1. pobrałem sobie to: http://www.openwall.com/phpa...   22.10.2012, 17:26:59

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 02:56
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn