Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MySQL]Logowanie do mysql i kodowanie, Zabezpiecznie dostępu do bazy z przeglądarki
Astronovi
post
Post #1





Grupa: Zarejestrowani
Postów: 31
Pomógł: 0
Dołączył: 14.06.2011

Ostrzeżenie: (0%)
-----

witam, mam takie dwa problemy

1) piszę sobie portal z logowaniem
łączę się z bazą w której bedą uzytkownicy, dane itp..itd...
padają "magiczne" plecenia dostępu do bazy i tu mam problem

polecenie mysql_connect('serwer', 'user', 'hasło');
jest w jakimś pliku php np. połączenie.php, który jest widoczny z poziomu przeglądarki
a więc każdy kto trochę się zna może mi taki plik ściągnąć,podejrzeć i po mojej bazie z użytkownikami

jak to zabezpieczyć?
jak to robicie?


2) hasła uzytkowników powinny być zabezpieczone
chcę by to było zabezpiecznie z kodem blowish

w manualu php crypt jest dosyć trudno napisane o blowish
nie wiem gdzie to salt umieścić a gdzie nie,
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)

czy ktoś może mi podać konkretny przykład z tym blowishem?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
drPayton
post
Post #2





Grupa: Zarejestrowani
Postów: 890
Pomógł: 65
Dołączył: 13.11.2005
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----

Cytat(Astronovi @ 14.06.2011, 11:53:21 ) *
(...)
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)
(...)

Mylisz się, takie rozwiązanie jest problemem. Rozwiązaniem jest właśnie "sól" + algorytm hashujący. Od biedy może być i md5.

W bazie wówczas trzymać musisz dwie informacje: sól (jakiś losowy string) + string, będący efektem hashowania "hasło+sól"). Najwygodniej chyba w 2 oddzielnych kolumnach.

Wtedy:
1. Wpisanie hasła użytkownika (przy dodaniu nowego, czy edycji hasła starego):
- generujesz sól (losowy string np 20 znaków), robisz hash(sól.hasło_użytkownika) [np md5, sha1 etc]. Sól zapisujesz do kolumny "sól", hash do kolumny "hasło"

2. Sprawdzenie poprawności danych logowania:
a. sprawdzasz, czy istnieje user o podanym loginie. Jeśli tak - pobierasz jego "sól", łączysz z podanym przez niego hasłem i hashujesz - ten hash porównujesz z tym zapisanym w bazie.

to wszystko (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
Astronovi
post
Post #3





Grupa: Zarejestrowani
Postów: 31
Pomógł: 0
Dołączył: 14.06.2011

Ostrzeżenie: (0%)
-----

Cytat(drPayton @ 14.06.2011, 14:51:30 ) *
to wszystko (IMG:style_emoticons/default/smile.gif)


ok, rozumiem że chodzi o komplikacje kodu


Ten post edytował Astronovi 14.06.2011, 18:04:39
Go to the top of the page
+Quote Post

Posty w temacie
- Astronovi   [PHP][MySQL]Logowanie do mysql i kodowanie   14.06.2011, 10:53:21
- - Daiquiri   Dostęp możesz zabezpieczyć korzystając z htaccess,...   14.06.2011, 10:56:57
- - nospor   Cytatpolecenie mysql_connect('serwer', ...   14.06.2011, 11:02:19
- - Astronovi   dzięki, może jeszcze ktoś napisze coś o tym kodo...   14.06.2011, 12:54:48
- - drPayton   Cytat(Astronovi @ 14.06.2011, 11:53:2...   14.06.2011, 13:51:30
|- - Astronovi   Cytat(drPayton @ 14.06.2011, 14:51:30...   14.06.2011, 17:53:35
- - drPayton   nie o komplikacje kodu, ale o zabezpieczenie hasła...   14.06.2011, 18:32:19
- - Astronovi   ok, napisałem $pass = 'haslo'; ...   14.06.2011, 19:20:29

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 17.10.2025 - 21:19
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn