 [php] kilka pytan |
| [php] kilka pytan |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 267 Pomógł: 36 Dołączył: 8.08.2008 Ostrzeżenie: (0%) 
 |
Witam
Mam kilka pytan. 1. Co uzywac, ereg czy eregi i dlaczego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) 2. Czy bedzie wieksze bezpieczenstwo hasel jesli zastosuje md5 i: podziele zhaszowane haslo na pol, z dwoch polowek odejme po 3 znaki na koncu, dodam kombinacje znakow z maila (np. od 1-4 litery maila), polacze ostatecznie druga polowke + kombinacja z maila + pierwsza polowka. Ochronie dzieki temu hasla, jesli w najgorszym wypadku ktos dostanie sie do bazy ? 3. Czy zastosowac ta sama technike do przechowania hasla w cookies - czy inna ? 4. W jednym miejscu mam warunek: Kod if($_SESSION['zalogowano'] == "tak") { (czyli czy uzytkownik jest zalogowany)To czy haker moglby w jakis sposob zmienic SESSION['zalogowano'] na "tak"(gdy nie jest zalogowany) ? Czy moze tylko odczytac jaka wartosc jest w tej zmiennej ? Za odp. z gory dziekuje (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 415 Pomógł: 46 Dołączył: 26.05.2007 Skąd: Sandomierz Ostrzeżenie: (0%)
|
Cytat(*OuTSideR* @ 11.01.2009, 11:28:34 )  1. Co uzywac, ereg czy eregi i dlaczego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Ani tego ani tego ... korzystać z preg" title="Zobacz w manualu PHP" target="_manual .. http://pornel.net/eregCytat(*OuTSideR* @ 11.01.2009, 11:28:34 ) 2. Czy bedzie wieksze bezpieczenstwo hasel jesli zastosuje md5 i: podziele zhaszowane haslo na pol, z dwoch polowek odejme po 3 znaki na koncu, dodam kombinacje znakow z maila (np. od 1-4 litery maila), polacze ostatecznie druga polowke + kombinacja z maila + pierwsza polowka. Ochronie dzieki temu hasla, jesli w najgorszym wypadku ktos dostanie sie do bazy ? ... wystarczy samo md5() ... jak ktoś dostanie się do bazy to i tak Ci rozwali strone, a jak już bedzie mu zalezalo na hasłach (tylko) to dostanie ciąg 32 znaków z którymi nic nie zrobi - Nie da się tego odkodować. md5() to funkcja mieszająca nie kodująca ... czy jak to tam zwałCytat(*OuTSideR* @ 11.01.2009, 11:28:34 ) 3. Czy zastosowac ta sama technike do przechowania hasla w cookies - czy inna ? Najlepiej to nie przechowuj haseł w kukies i będzie bez problemu. W ciastkach najlepiej trzymać takie rzeczy, które nie są zbyt istotne np. $_SESSION['logged_in'] = true;Cytat(*OuTSideR* @ 11.01.2009, 11:28:34 ) Kod if($_SESSION['zalogowano'] == "tak") { (czyli czy uzytkownik jest zalogowany)To czy haker moglby w jakis sposob zmienic SESSION['zalogowano'] na "tak"(gdy nie jest zalogowany) ? Czy moze tylko odczytac jaka wartosc jest w tej zmiennej ? |
|
|
|
*OuTSideR* [php] kilka pytan 11.01.2009, 11:28:34 
*OuTSideR* CytatNie da się tego odkodować
A brute force ? Ale... 11.01.2009, 11:44:20 decha-design To na pewno nie na sesjach ... był juz taki temat.... 11.01.2009, 11:48:41 *OuTSideR* W Manualu znalazlem to o soli:
Kod$hash = md5... 11.01.2009, 12:11:58 decha-design a jak ktoś ma zmienne IP? co wtedy? 11.01.2009, 12:18:27 pinochet Cytat(decha-design @ 11.01.2009, 11... 11.01.2009, 17:38:27 
*OuTSideR* z tym IP to nie pomyslalem.
Jesli chodzi o sesje ... 12.01.2009, 17:12:05  |
|
Aktualny czas: 16.10.2025 - 00:03 |
