![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 118 Pomógł: 0 Dołączył: 29.07.2003 Skąd: skąd-inąd. Ostrzeżenie: (0%) ![]() ![]() |
czy mozna utworzyc konto uzytkownika z poziomu php (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?
polecenia linuxowe mozna wywolywac przez funkcje system(). polecenia typu system("ls /home") dzialaja prawidlo, jednak system("adduser nowy_uzytkownik") nie dziala jak powinno. na pewno chodzi o uprawnienia do tworzenia nowych kont. czy istnieje jakis inny sposob zeby przez skrypt php utworzyc konto uzytkownika pod linuxem (bedac rootem) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 47 Pomógł: 0 Dołączył: 21.02.2003 Ostrzeżenie: (0%) ![]() ![]() |
Cytat Cytat Jak sprawdzisz czy poprzednio podane haslo jest prawidlowe?
Użytkownik musi podać stare i nowe hasło. Mogą być oba wrzucane do bazy i skrypt z crona sprawdza czy jest poprawne lub lepiej może robić to sam skrypt w phpie i odrzucać próby zmiany hasła gdy obecne hasło jest błędne.. No ale wtedy uzytkownik nie dowie sie czy udalo mu sie zmienic haslo czy nie!. A jezeli zrobi to obecny skrypt w phpie to bedzie mial dostep z dodatkowymiuprawnieniemi do pliku shadow lub trzymal kopie zakryptowanych hasel w bazie. Oba rozwiazania sa beznadziejne z punktu widzenia bezpieczenstwa! Cytat Cytat A odpalenie skryptu co 10 minut zeby nie obciazac servera moze spowodowac panike wsrod uzytkownikow ze zadne haslo im juz nie dziala. To by bylo tzw: Security by obscurity.
Dlaczego niby panikę? Zawsze któreś działa. Jeśli nie nowe to jeszcze stare.. Ty chyba nigdy w providerni nie pracowales. Cytat Widzialem takie systemy gdzie wszystkie hasla co 5 minut generowaly sie z mysqla do /etc/passwd i /etc/shadow
>Generowanie co najwyżej kilku haseł co minutę obciąża system, ale już >generowanie całej bazy co 5 minut tego nie robi, tak? hmm obciaza system w 5x mniejszym stopniu Cytat Cytat latwo ukrasc wszystkie hasla uzytkownikow przy najkmniejszym bledzie w programoie czy konfiguracji
Takie niebezpieczeństwo istnieje zawsze jeśli nie ma odpowiednich zabezpieczeń lub jeśli się popełni błąd. A jeśli chodzi o ścisłość to Twoje rozwiązanie pod tym względem akurat jest gorsze bo zawsze trzymasz wszystkie hasła w bazie, więc ewentualne włamanie do niej powoduje ich utrate. Moje natomiast trzyma hasła tylko na chwile (do minuty) i tylko te które są zmieniane. Później są usuwane i w stanie ustalonym baza jest pusta. Npisales ze bedziesz autoryzowal stare haslo w takim razie jak to zrobisz przy takim ukladzie? |
|
|
![]() ![]() |
![]() |
Aktualny czas: 8.10.2025 - 20:14 |