Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] zabezpieczenie strony
marcinek37
post
Post #1





Grupa: Zarejestrowani
Postów: 239
Pomógł: 0
Dołączył: 2.06.2011

Ostrzeżenie: (0%)
-----

witam,

1. zabezpieczyłem system wg wskazówek zawartych na stronach:
- http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP
- http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php
oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie
czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę?

2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych
jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5

następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji

czy to bezpieczne? czy może warto coś z tym zrobić?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
ad2) Była o tym mowa wiele razy. Jest nawet przypiety temat:
http://forum.php.pl/index.php?showtopic=44...t=0&start=0

ad3) No tak, bez sensowne latanie po bazie za każdym razem dla 10 userow moze i nie jest mulaste, ale dla większej ilości...
Go to the top of the page
+Quote Post

Posty w temacie
- marcinek37   [php] zabezpieczenie strony   22.10.2012, 12:51:27
- - nospor   1) Nie dwie sesje, a dwie wartości w jednej sesji....   22.10.2012, 12:53:34
- - marcinek37   1. racja 2. załóżmy, że hasło administratora to QW...   22.10.2012, 13:08:57
- - nospor   ad2) Była o tym mowa wiele razy. Jest nawet przypi...   22.10.2012, 13:10:26
- - Sephirus   Jak zwykle zgadzam się z przedmówcą Co do pkt. 2...   22.10.2012, 13:10:40
- - marcinek37   2. możesz po krótce powiedzieć, jak działa PHPass?...   22.10.2012, 13:20:18
- - Sephirus   Ślicznie EDIT: Co do PHPass pobierz go po prostu...   22.10.2012, 13:21:20
- - marcinek37   sprawdzę to PHPass 2. załóżmy, że hasło administr...   22.10.2012, 13:42:46
- - nospor   Cytat2. załóżmy, że hasło administratora to QWERTY...   22.10.2012, 13:44:05
- - marcinek37   przepraszam za problemy, nie zrozumiałem do końca ...   22.10.2012, 13:48:55
- - erix   A przeczytałeś przyklejone wątki na forum? Wyszuki...   22.10.2012, 14:39:11
- - marcinek37   1. pobrałem sobie to: http://www.openwall.com/phpa...   22.10.2012, 17:26:59

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 02:56
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn