[PHP][MySQL]Logowanie do mysql i kodowanie, Zabezpiecznie dostępu do bazy z przeglądarki Opcje

[Astronovi]

witam, mam takie dwa problemy

1) piszę sobie portal z logowaniem
łączę się z bazą w której bedą uzytkownicy, dane itp..itd...
padają "magiczne" plecenia dostępu do bazy i tu mam problem

polecenie mysql_connect('serwer', 'user', 'hasło');
jest w jakimś pliku php np. połączenie.php, który jest widoczny z poziomu przeglądarki
a więc każdy kto trochę się zna może mi taki plik ściągnąć,podejrzeć i po mojej bazie z użytkownikami

jak to zabezpieczyć?
jak to robicie?


2) hasła uzytkowników powinny być zabezpieczone
chcę by to było zabezpiecznie z kodem blowish

w manualu php crypt jest dosyć trudno napisane o blowish
nie wiem gdzie to salt umieścić a gdzie nie,
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)

czy ktoś może mi podać konkretny przykład z tym blowishem?

[Astronovi]

ok, napisałem

$pass = 'haslo';
$base64="./0123456789ABCDEFGHIJKLMNOPRSTUVWXYZabcdefghijklmnoprstuvwxyz";


$prefix = "$2a$";
$twodigit = rand(4, 31);
if($twodigit<10)
{
$twodigit = str_pad($twodigit, 2, 0, STR_PAD_LEFT);
}

$blowfish = $prefix.$twodigit."$".substr(str_shuffle($base64), 0, 22)."
$zakodowane = crypt($pass, $blowfish);

takie coś może byc?
:-)




Ten post edytował Astronovi 14.06.2011, 19:34:03