Ogólne bezpieczeństwo w PHP Opcje

[Niktoś]

Obserwując ten język programowania nie wiem za bardzo co myśleć o bezpieczeństwie a dokładnie o metodach autoryzacji i uwierzytelniania.Z moich obserwacji wynika ,że są dwie:
1.Oparty o bazy danych
2.Oparty o zewnętrzny serwis np. KADM5.
W asp.net mamy:
1.Oparty o bazy danych
2.Oparty o aplikacje asp.net
3.Oparty o serwer IIS.
4.Oparty o zewnętrzny serwis.

Na tej stronie są ogólnikowo wymienione wszystkie metody uwierzytelnienia..

Czy nie jest to zbyt skromne,jeśli chodzi o PHP?Jak by wyglądało uwierzytelnienie w sieci intranetowej w PHP?Baza danych +IP,które jest zawodne,gdyż co jeśli cała sieć będzie na ADSL?Czy te dwa wymienione uwierzytelnienia w PHP są dla was wystarczające?Czemu Apache nie ma własnego systemu uwierzytelniania tj.w IIS?Dużo pytań,ale może ktoś rozwieje moję wątpliwości bo na razie uważam,że PHP biednie wygląda jeśli chodzi o metody uwierzytelniania.

Ten post edytował Niktoś 18.03.2012, 21:16:33

[cojack]

Autoryzację możesz zrobić na milion sposobów:

1) O bazę danych (rdbms, nosql, pliki, co se wymyślisz [ram?])
2) O zew serwis poprzez OpenID np, email, what eva
3) Http auth, tak jak wyżej pisano,
4) O dane użytkowników na serwerze
5) LDAP
6) O dane użytkowników RDBMS'ach i tym podobnych
7) Social Media, (FB, G+, MySpace etc)
8) o poprawne logowanie się przez email (auth by smtp|pop)

panie, można tak sobie wymyślać i wymyślać

@edit
nawet o certyfikaty które wyślesz swoim użytkownikom na pendrivach (IMG:style_emoticons/default/biggrin.gif)

Ten post edytował cojack 19.03.2012, 10:38:20

[by_ikar]

Autoryzację możesz zrobić na milion sposobów:

1) O bazę danych (rdbms, nosql, pliki, co se wymyślisz [ram?])
2) O zew serwis poprzez OpenID np, email, what eva
3) Http auth, tak jak wyżej pisano,
4) O dane użytkowników na serwerze
5) LDAP
6) O dane użytkowników RDBMS'ach i tym podobnych
7) Social Media, (FB, G+, MySpace etc)
8) o poprawne logowanie się przez email (auth by smtp|pop)

panie, można tak sobie wymyślać i wymyślać

@edit
nawet o certyfikaty które wyślesz swoim użytkownikom na pendrivach (IMG:style_emoticons/default/biggrin.gif)

Dokładnie, tak jak napisałem, metod jest tyle ilu jest programistów. A to czy będzie to działać na zasadzie bazy, czy innych mechanizmów to już jest twoja sprawa i język jako sam w sobie tutaj nie ma najmniejszej kwestii. Ty porównujesz goły php do frameworka udostępnionego w asp. To jest takie porównanie bezsensu. Porównaj do innych framerowków napisanych w php i wtedy odnoś się do bezpieczeństwa. Bo tak to odnosisz się do języka, co jest bezsensu i co w sumie zauważyłem już na samym początku tego wątku..

Uważam temat do zamknięcia ,gdyż natknąłem się na podobny:
http://forum.php.pl/index.php?showtopic=18...mp;#entry928410 ,ale niestety są sesje i bazy danych,heh.

Baza danych, to mechanizm składowania danych, jeden z wielu, bardzo wielu, dostępnych w różnych językach, nie tylko w php. Nie mniej, tandem php+mysql bardzo się przyjął w środowisku programistów php i jest bardzo często stosowany. Nie widzę w tym nic specjalnie niebezpiecznego.

Chcesz większego bezpieczeństwa? Utwórz sobie w mysql odpowiednich użytkowników, np jeden użytkownik który może działać na wszystkich innych tabelach niż tabela z użytkownikami, i drugi użytkownik który może tylko na tabeli użytkowników działać. Jeżeli dojdzie do ataku sqlinjection, powiedzmy poprzez artykuły. To co najwyżej odczyta sobie potencjalny włamujący tylko artykuły. Żadna kosmiczna technologia microsoftu nie jest tutaj jakimś super odkryciem, czy przełomem w bezpieczeństwie. Technik jest bardzo wiele, tyle samo ile programistów.

I pamiętaj, nie porównuj framework w asp, do gołego php, bo to jest nie na miejscu porównanie.