 Ogólne bezpieczeństwo w PHP |
| Ogólne bezpieczeństwo w PHP |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 1 195 Pomógł: 109 Dołączył: 3.11.2011 Ostrzeżenie: (10%) 
 |
Obserwując ten język programowania nie wiem za bardzo co myśleć o bezpieczeństwie a dokładnie o metodach autoryzacji i uwierzytelniania.Z moich obserwacji wynika ,że są dwie:
1.Oparty o bazy danych 2.Oparty o zewnętrzny serwis np. KADM5. W asp.net mamy: 1.Oparty o bazy danych 2.Oparty o aplikacje asp.net 3.Oparty o serwer IIS. 4.Oparty o zewnętrzny serwis. Na tej stronie są ogólnikowo wymienione wszystkie metody uwierzytelnienia.. Czy nie jest to zbyt skromne,jeśli chodzi o PHP?Jak by wyglądało uwierzytelnienie w sieci intranetowej w PHP?Baza danych +IP,które jest zawodne,gdyż co jeśli cała sieć będzie na ADSL?Czy te dwa wymienione uwierzytelnienia w PHP są dla was wystarczające?Czemu Apache nie ma własnego systemu uwierzytelniania tj.w IIS?Dużo pytań,ale może ktoś rozwieje moję wątpliwości bo na razie uważam,że PHP biednie wygląda jeśli chodzi o metody uwierzytelniania. Ten post edytował Niktoś 18.03.2012, 21:16:33 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 195 Pomógł: 109 Dołączył: 3.11.2011 Ostrzeżenie: (10%)
|
Cytat Jeśli ktoś "shakuje" Ci bazę, a tym samym przejdzie pomyślnie proces identyfikacji i uwierzytelnienia, np., podając wyciągnięty z bazy prawdziwy logina admina, to żaden, nawet najlepszy mechanizm czy metoda uwierzytelniania na nic się nie zda. Zakładając ,że nie masz ochrony w skrypcie przed sql injection i użytkownik wpisuje w pole admin'-- i następuje logowanie jako admin gdyż reszta kwerendy zostaje zakomentowana,więc sql nie daje rady ,ale Form-Based Authentication ma swoje własne tzw creditials i role skojarzone z użytkownikiem więc wpis w pole input admin'-- tutaj na nic się zda bo nie zostanie po tym wpisie zautoryzowany i tym samym mimo że przeszedł autoryzacje sql to nie przeszedł tej drugiej i tym samym dostęp do zasobów zostaje zablokowany. Cytat Poza tym w c# są sposoby na zminimalizowanie praktycznie do zera szans na skuteczne przeprowadzenie sql injection (nie znam dokładniej tematu, nie siedzę w bajce pod tytułem dot net, dlatego wrzucę ten link: http://msdn.microsoft.com/en-us/library/ff648339.aspx Zawsze jakieś są, wiem o zabezpieczeniach sql w c# ,ale dzięki za linka i za zainteresowanie. Uważam temat do zamknięcia ,gdyż natknąłem się na podobny: http://forum.php.pl/index.php?showtopic=18...mp;#entry928410 ,ale niestety są sesje i bazy danych,heh. |
|
|
|
Niktoś Ogólne bezpieczeństwo w PHP 18.03.2012, 20:59:23 
thek Yyyy... Apache nie ma? mod_auh, mod_access Piszę ... 18.03.2012, 21:36:24 by_ikar Hmm wydaje mi się że trochę mylisz pojęcia. Bo met... 18.03.2012, 21:36:57 Niktoś Do założenia tego tematu zainspirował mnie ten tem... 18.03.2012, 22:11:38 
darko Cytat(Niktoś @ 18.03.2012, 22:11:38 )... 18.03.2012, 22:59:22 Speedy Możesz uruchamiać połączenia szyfrowane na serwerz... 18.03.2012, 22:30:05 cojack Autoryzację możesz zrobić na milion sposobów:
1) ... 19.03.2012, 10:37:35 by_ikar Cytat(cojack @ 19.03.2012, 10:37:35 )... 19.03.2012, 12:36:02 Niktoś CytatBaza danych, to mechanizm składowania danych,... 19.03.2012, 12:56:07 by_ikar Cytat(Niktoś @ 19.03.2012, 12:56:07 )... 19.03.2012, 13:15:01 Niktoś CytatA powiedz mi, to są tematy z działu pro, lub ... 19.03.2012, 13:26:35 by_ikar CytatCzy użycie i skonfiguraowanie tych modułów je... 19.03.2012, 13:51:37 Niktoś CytatBo i same hostingi nie zawsze udostępniają ta... 19.03.2012, 13:58:47  |
|
Aktualny czas: 27.12.2025 - 16:22 |
