[PHP][MySQL]Logowanie do mysql i kodowanie, Zabezpiecznie dostępu do bazy z przeglądarki Opcje

[Astronovi]

witam, mam takie dwa problemy

1) piszę sobie portal z logowaniem
łączę się z bazą w której bedą uzytkownicy, dane itp..itd...
padają "magiczne" plecenia dostępu do bazy i tu mam problem

polecenie mysql_connect('serwer', 'user', 'hasło');
jest w jakimś pliku php np. połączenie.php, który jest widoczny z poziomu przeglądarki
a więc każdy kto trochę się zna może mi taki plik ściągnąć,podejrzeć i po mojej bazie z użytkownikami

jak to zabezpieczyć?
jak to robicie?


2) hasła uzytkowników powinny być zabezpieczone
chcę by to było zabezpiecznie z kodem blowish

w manualu php crypt jest dosyć trudno napisane o blowish
nie wiem gdzie to salt umieścić a gdzie nie,
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)

czy ktoś może mi podać konkretny przykład z tym blowishem?

[drPayton]

nie o komplikacje kodu, ale o zabezpieczenie hasła przed atakami typu słownikowego / rainbow tables. Metoda z solą jest skutecznym zabezpieczeniem przed tym.

A algorytm hashujący - tu ma znaczenie jego podatność na kolizje. MD5 jest już dawno skompromitowany, sha1 o ile dobrze kojarzę też. Ja osobiście używam i polecam sha256, chociaż zapewne to przegięcie w druga stronę (IMG:style_emoticons/default/wink.gif)

Ten post edytował drPayton 14.06.2011, 18:41:13