[php] zabezpieczenie strony

[php] zabezpieczenie strony

marcinek37 Zobacz profil	22.10.2012, 12:51:27 Post #1
Grupa: Zarejestrowani Postów: 239 Pomógł: 0 Dołączył: 2.06.2011 Ostrzeżenie: (0%)	witam, 1. zabezpieczyłem system wg wskazówek zawartych na stronach: - http://php.pl/Wortal/Artykuly/Bezpieczenst...wa-skryptow-PHP - http://webmade.org/porady/bezpieczenstwo-p...on-xss-csrf.php oczywiście w internecie są setki podobnych artykułów, jednak nie wnoszą niczego nowego do dyskusji o bezpieczeństwie czy informacje zawarte w nich są wystarczające? czy mam na coś innego zwrócić uwagę? 2. moje logowanie wygląda tak, że podaję login i hasło, system sprawdza, czy owy login jest w bazie, jeśli jest, to sprawdza, czy podane hasło po przejściu przez md5 jest zgodne z tym z bazy danych jeśli jest powstają dwie sesje, w jednej podany jest numer ID użytkownika, a w drugiej znajduje się hasło po przejściu po funkcji md5 następnie po każdym odświeżeniu strony, system wie, że mam te dwie sesje, ale i tak je sprawdza, czy użytkownik o ID z sesji ma w bazie takie samo hasło jak te z sesji czy to bezpieczne? czy może warto coś z tym zrobić?

Odpowiedzi

marcinek37 Zobacz profil	22.10.2012, 17:26:59 Post #2
Grupa: Zarejestrowani Postów: 239 Pomógł: 0 Dołączył: 2.06.2011 Ostrzeżenie: (0%)	1. pobrałem sobie to: http://www.openwall.com/phpass/phpass-article-3.tar.gz i skupiłem się na katalogu demo4, który najbardziej mi odpowiadał przykładowy kod był spory, a jego konstrukcja mi nie odpowiadała, więc skróciłem go tak: [PHP] pobierz, plaintext <? <?php require '../PasswordHash.php'; $hasher = new PasswordHash($hash_cost_log2, $hash_portable); // oryginalne hasło $org_pass = 'XYZ'; // funkcja, która tworzy hash dla hasła $pass = $hasher->HashPassword($org_pass); // hash, który się utworzył $org_hash = '$P$BxAextjApHS/s1Hj01Eydd9Jfv2PSb.'; // jeśli pokaże 1, to działa dobrze $ok = $hasher->CheckPassword($org_pass, $org_hash); // wynik echo $ok; ?> [PHP] pobierz, plaintext czy dobrze zrozumiałem jego działanie? 2. żeby kod nieco skrócić, zmieniłem nieco klasę: [PHP] pobierz, plaintext <? class PasswordHash { var $itoa64; var $iteration_count_log2 = 8; var $portable_hashes = FALSE; var $random_state; ... ?> [PHP] pobierz, plaintext bo i tak nie wiem, do czego służą te parametry, więc wpisałem je na stałe 3. jak rozumiem, każda fraza może mieć kilka/kilkanaście swoich wersji, bo gdy odświeżałem stronę dla danej zmiennej, skrypt tworzył zupełnie inny hash 4. czy coś jeszcze powinienem wiedzieć o tym skrypcie? Ten post edytował marcinek37 22.10.2012, 17:29:50

Posty w temacie

marcinek37 [php] zabezpieczenie strony 22.10.2012, 12:51:27

nospor 1) Nie dwie sesje, a dwie wartości w jednej sesji.... 22.10.2012, 12:53:34

marcinek37 1. racja 2. załóżmy, że hasło administratora to QW... 22.10.2012, 13:08:57

nospor ad2) Była o tym mowa wiele razy. Jest nawet przypi... 22.10.2012, 13:10:26

Sephirus Jak zwykle zgadzam się z przedmówcą Co do pkt. 2... 22.10.2012, 13:10:40

marcinek37 2. możesz po krótce powiedzieć, jak działa PHPass?... 22.10.2012, 13:20:18

Sephirus Ślicznie EDIT: Co do PHPass pobierz go po prostu... 22.10.2012, 13:21:20

marcinek37 sprawdzę to PHPass 2. załóżmy, że hasło administr... 22.10.2012, 13:42:46

nospor Cytat2. załóżmy, że hasło administratora to QWERTY... 22.10.2012, 13:44:05

marcinek37 przepraszam za problemy, nie zrozumiałem do końca ... 22.10.2012, 13:48:55

erix A przeczytałeś przyklejone wątki na forum? Wyszuki... 22.10.2012, 14:39:11

marcinek37 1. pobrałem sobie to: http://www.openwall.com/phpa... 22.10.2012, 17:26:59

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 14.10.2025 - 11:10

Hosting zapewnia

Forum PHP.pl