[PHP][MYSQL] Pytanie o zabezpieczenia Opcje

[escobar1983]

Witam.
Zastanawiam mnie kilka rzeczy, poniewaz mój projekt bedzie w internecie jak najbezpieczniej uciec od jakich kolwiek wlaman. Napisze moze co dokonalem dotychczas i moze wtedy drodzy forumowicze doradzic mi to jeszcze nalezy zrobic.
1. Wszystkie hasla w bazie sa szyfrowane md5
2. na kazdej ze stron prywatnych ustawione sa poczatkowe zapytanie czy jestes zalogowany i jesli tak czy jestes administartorem.
3. Uzywam kilku include aby uzytkownik ni mogl wyswietlic tresci.
4. przy logowaniu sprawdzam osobe czy jest uzytkownik czy jest adminem. Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.

mam tez jeden plik w ktorym wykonywane sa pewne operacje po czym jest przekierowanie do innego pliku. Ten plik z operacjami nie wyswietla zadnej tresci tylko ma za zadanie cos wyliczyc i przekazac wartosc dalej. Czy musze ten plik zabezpieczyc? Jesli tak to jak najlepiej.

[erix]

1. Wszystkie hasla w bazie sa szyfrowane md5

md5" title="Zobacz w manualu PHP" target="_manual, to nie jest szyfrowanie.

1. Szyfruj albo sha1 albo double md5 polacam sha1

jw. Oba nie należą do szyfrowania. A jeśli chodzi o podwójne hashowanie - polecam lekturę: http://forum.php.pl/index.php?showtopic=44156

4. Nie widzę w tym większego problemu. Przecież pliki/wpisy z sesji masz u siebie na serwerze a w np. cookie przetrzymuje tylko informacje o sesid.

Niezupełnie. Domyślnie, dane sesji są trzymane w katalogu dostępnym dla wszystkich użytkowników serwera.

Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.

Jeśli uwzględnisz moją poprzednią wypowiedź, to do prostych zastosowań wystarczy. Bardziej zaawansowane rozwiązanie, to tabela np. typu memory i parę metadanych.

A jeśli chcesz bardziej wszystko zabezpieczyć, to polecam lekturę o CSRF.

Jesli tak to jak najlepiej.

Trzymać go poza katalogiem serwera, czyli (najczęściej) wyżej niż public_html.