[MySQL][PHP]Włam do bazy Opcje

[AniaR]

Witam,
Strwożyłam prostą stronę z panelem administracyjnym. Właśnie dostałam wiadomość od firmy testującej ze aplikacja jest dziurawa i właśnie siedzą w moim panelu admina i mogą dowolnie modyfikować dane (podali login i hasło które faktycznie zapisałam w bazie).

Dodam ze login i hasło przechowuje w bazie w postaci jawnej (nie md5), do tego logowanie robię metoda POST. Na stronie jest tez wyszukiwarka która jak wiadomo łączy się z baza. Danych przesyłanych z formularza nie przepuszczam przez funkcje addslashes() ale czy robiąc to zapobiegłabym przed wykradzeniem z bazy loginu i hasła?

Proszę napiszcie jakie są sposoby aby porządnie zabezpieczyć prosta stronę z panelem admina aby nikt nie mógł dostać się do mojego loginu i hasła?



Ten post edytował AniaR 15.11.2010, 10:37:45

[rzymek01]

te po stronie przeglądarki, żeby ino zwykły użytkownik wiedział ile liter na login może "wykorzystać"

wg mnie starczy informacja o tym, a nie "na siłę" zakazywać, nie bo nie, nie róbmy z użytkownika totalnego idioty,
oczywiście jeśli wpisze np. 10 znaków, a max ma być 8, to powinno się wyświetlić cokolwiek co poinformuje użytkownika o tym.
Dla przykładu załózmy taką sytuację:
starsza osoba, niech będzie to babcia, rejestruje się na stronie,
patrzy cały czas na klawiaturę, bo nie umie pisac bezwzrokowo i wpisuje sobie 10 znakowy login (a w formularzu jest maxlength 8), gdzie tutaj jeszcze jest możliwa korekta błędu, gdy zauwazy że literki sie nie zgadzają, ale w polu typu password literek nie widac i tak zamiast 10 znakowego hasła wymyślonego przez babcię, do bazy zostaje zapisane hasło 8 znakowe
tutaj powiecie: zaraz, zaraz, ale w formularzu do logowania, rowniez jest ustawiony maxlength dla hasła, więc wszystko cacy,
otóz nie, bo niech chociażby zmienimy sobie maks. długosc hasła na stutek jakiejś propagandy na temat długości hasła i ustawiomy wszędzie maxlength 9, i co?
babcia się nie zaloguje....

@modern-web, to samo co wyżej napisałem + to, że jednak musisz to napisać oraz pamiętać o tym, gdzie to napisałeś, aby w przyszłości móc zmieniać system zabezpieczeń

Pozdrawiam

[modern-web]

wg mnie starczy informacja o tym, a nie "na siłę" zakazywać, nie bo nie, nie róbmy z użytkownika totalnego idioty,
oczywiście jeśli wpisze np. 10 znaków, a max ma być 8, to powinno się wyświetlić cokolwiek co poinformuje użytkownika o tym.
Dla przykładu załózmy taką sytuację:
starsza osoba, niech będzie to babcia, rejestruje się na stronie,
patrzy cały czas na klawiaturę, bo nie umie pisac bezwzrokowo i wpisuje sobie 10 znakowy login (a w formularzu jest maxlength 8), gdzie tutaj jeszcze jest możliwa korekta błędu, gdy zauwazy że literki sie nie zgadzają, ale w polu typu password literek nie widac i tak zamiast 10 znakowego hasła wymyślonego przez babcię, do bazy zostaje zapisane hasło 8 znakowe
tutaj powiecie: zaraz, zaraz, ale w formularzu do logowania, rowniez jest ustawiony maxlength dla hasła, więc wszystko cacy,
otóz nie, bo niech chociażby zmienimy sobie maks. długosc hasła na stutek jakiejś propagandy na temat długości hasła i ustawiomy wszędzie maxlength 9, i co?
babcia się nie zaloguje....

@modern-web, to samo co wyżej napisałem + to, że jednak musisz to napisać oraz pamiętać o tym, gdzie to napisałeś, aby w przyszłości móc zmieniać system zabezpieczeń

Pozdrawiam

Po 1: mały procent 'starszych' osób korzysta z internetu - nie wiem czy to zauważyłeś ale wątpię.
Po 2: prędzej poproszą o to bystrego wnusia...
Po 3: zszedłeś z tematu (który tak na serio został już rozwiązany...)
Po 4: każdy ma odmienne zdanie więc nie widzę sensu, by dalej ciągnąć tę dyskusję.

Ten post edytował modern-web 20.11.2010, 16:03:32

[rzymek01]

Po 1: mały procent 'starszych' osób korzysta z internetu - nie wiem czy to zauważyłeś ale wątpię.

nie wiem czy zauwazyłes, ale opisana przeze mnie sytuacja nie dotyczy tylko osób starszych, to był taki przykład najbardziej obrazujący problem,
równie dobrze może to dotyczyc Ciebie, bo jak wpisujesz kilkunaste znakowe hasło do formularza nie mieszącego wszystkiich znakow to nie zobaczysz czy jeszcze wpisujesz, czy juz nie

Po 3: zszedłeś z tematu (który tak na serio został już rozwiązany...)

odwracasz bieg wydarzeń, staram się jedynie sprostować niektóre wypowiedzi, które już zeszły z tematu

Po 4: każdy ma odmienne zdanie więc nie widzę sensu, by dalej ciągnąć tę dyskusję.

hmm, każda osoba może mieć odmienne zdanie na cokolwiek, to znaczy, żeby ze sobą nie rozmawiać?
Wolę rozmawiać i spierać się, gdyż to jest cywilizowany sposób wymiany zdań, chyba, że wolisz prawo dżungli

Pozdrawiam