 [php] zabezpieczenie strony |
| [php] zabezpieczenie strony |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 239 Pomógł: 0 Dołączył: 2.06.2011 Ostrzeżenie: (0%) 
 |
witam,
1. zabezpieczyłem system wg wskazówek zawartych na stronach: - http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP - http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę? 2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5 następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji czy to bezpieczne? czy może warto coś z tym zrobić? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 527 Pomógł: 438 Dołączył: 28.06.2011 Skąd: Warszawa Ostrzeżenie: (0%)
|
Jak zwykle zgadzam się z przedmówcą (IMG:style_emoticons/default/smile.gif)
Co do pkt. 2. polecam PHPass Jeśli chodzi o pkt. 3. to samo sprawdzanie zalogowania powinieneś sprawdzać tylko po tym czy w sesji jest informacja o zalogowaniu usera. Innymi słowy jeśli masz zalogowanego gościa to przechowujesz w sesji pod kluczem na przykład "user_id" id zalogowanego użytkownika. Jeśli taki klucz istnieje - ktoś jest zalogowany (ten którego ID jest pod tym kluczem). Trzymanie id i hasła w sesji nie dość, że jest zbędne to zupełnie nie wnosi nic nowego. Jedyna ogólna opcja aby się dostać do czyjegoś konta to poznać ID sesji tego użytkownika i ustawić odpowiednie ciasteczko - przed tym powinieneś się bronić. Jak? Możesz na przykład w sesji, po zalogowaniu zapisać dane na temat IP, User-Agent gościa. Sprawdzając czy jest ktoś zalogowany wtedy sprawdzasz czy istnieje w sesji pole z ID zalogowanego użytkownika i jeśli tak to dodatkowo sprawdzasz czy w drugiej zmiennej sesyjnej, gdzie przechowujesz info o user-agent i/lub IP, są poprawne dla aktualnie sprawdzanego użytkownika dane. Wydaje mi się, że tyle starczy na start (IMG:style_emoticons/default/smile.gif) |
|
|
|
marcinek37 [php] zabezpieczenie strony 22.10.2012, 12:51:27 
nospor 1) Nie dwie sesje, a dwie wartości w jednej sesji.... 22.10.2012, 12:53:34 marcinek37 1. racja
2. załóżmy, że hasło administratora to QW... 22.10.2012, 13:08:57 nospor ad2) Była o tym mowa wiele razy. Jest nawet przypi... 22.10.2012, 13:10:26 marcinek37 2. możesz po krótce powiedzieć, jak działa PHPass?... 22.10.2012, 13:20:18 Sephirus Ślicznie
EDIT: Co do PHPass pobierz go po prostu... 22.10.2012, 13:21:20 marcinek37 sprawdzę to PHPass
2. załóżmy, że hasło administr... 22.10.2012, 13:42:46 nospor Cytat2. załóżmy, że hasło administratora to QWERTY... 22.10.2012, 13:44:05 marcinek37 przepraszam za problemy, nie zrozumiałem do końca
... 22.10.2012, 13:48:55 erix A przeczytałeś przyklejone wątki na forum? Wyszuki... 22.10.2012, 14:39:11 
marcinek37 1. pobrałem sobie to: http://www.openwall.com/phpa... 22.10.2012, 17:26:59  |
|
Aktualny czas: 14.10.2025 - 02:56 |
