Ogólne bezpieczeństwo w PHP Opcje

[Niktoś]

Obserwując ten język programowania nie wiem za bardzo co myśleć o bezpieczeństwie a dokładnie o metodach autoryzacji i uwierzytelniania.Z moich obserwacji wynika ,że są dwie:
1.Oparty o bazy danych
2.Oparty o zewnętrzny serwis np. KADM5.
W asp.net mamy:
1.Oparty o bazy danych
2.Oparty o aplikacje asp.net
3.Oparty o serwer IIS.
4.Oparty o zewnętrzny serwis.

Na tej stronie są ogólnikowo wymienione wszystkie metody uwierzytelnienia..

Czy nie jest to zbyt skromne,jeśli chodzi o PHP?Jak by wyglądało uwierzytelnienie w sieci intranetowej w PHP?Baza danych +IP,które jest zawodne,gdyż co jeśli cała sieć będzie na ADSL?Czy te dwa wymienione uwierzytelnienia w PHP są dla was wystarczające?Czemu Apache nie ma własnego systemu uwierzytelniania tj.w IIS?Dużo pytań,ale może ktoś rozwieje moję wątpliwości bo na razie uważam,że PHP biednie wygląda jeśli chodzi o metody uwierzytelniania.

Ten post edytował Niktoś 18.03.2012, 21:16:33

[Niktoś]

Baza danych, to mechanizm składowania danych, jeden z wielu, bardzo wielu, dostępnych w różnych językach, nie tylko w php. Nie mniej, tandem php+mysql bardzo się przyjął w środowisku programistów php i jest bardzo często stosowany. Nie widzę w tym nic specjalnie niebezpiecznego.

Widzisz ja,korzystam z dostępnych form uwierzytelniania i autoryzacji,aby było bezpieczniej ,zaś 90% użytkowników PHP tego forum czy to w formularzach rejestracji, czy logowania,czy to Panelu administracyjnym korzystają tylko i wyłącznie z baz danych,stosując protokoł MySQL/MySQLi ,licząc na niezawodność systemów baz danych. Nie widziałem np.aby ktoś dodatkowo zastosował np. w/w mody w apache,czy innych systemów autoryzacji jak kadm,bardzo znikomy odsetek ludzi tutaj to robi.Stąd moje zdziwienie i założenie tematu.

Ten post edytował Niktoś 19.03.2012, 13:04:43

[by_ikar]

Widzisz ja,korzystam z dostępnych form uwierzytelniania i autoryzacji,aby było bezpieczniej ,zaś 90% użytkowników PHP tego forum czy to w formularzach rejestracji, czy logowania,czy to Panelu administracyjnym korzystają tylko i wyłącznie z baz danych,stosując protokoł MySQL/MySQLi ,licząc na niezawodność systemów baz danych. Nie widziałem np.aby ktoś zastosował np. w/w mody w apache,czy innych systemów autoryzacji jak kadm.Stąd moje zdziwienie i założenie tematu.

A powiedz mi, to są tematy z działu pro, lub coś powyżej przedszkola? Ja przykładowo w panelu administracyjnym używam sqlite, wykluczam sqlinjection z racji korzystania z pdo (wszystkie zapytania są podpinane). A jak mi wciąż mało, mogę sobie http auth dać, lub jakieś drugie hasło administratora, którym trzeba będzie potwierdzić wykonaną czynność i takie hasło trzymane w zupełnie innym mechanizmie składowania.. Jak widzisz opcji jest wiele, i frameworki mają już przeróżnej maści metody autoryzacji zaimplementowane. A czego nie ma bezpośrednio, można dociągnąć z jakichś pluginów czy innych komponentów.

Nie widziałem np.aby ktoś zastosował np. w/w mody w apache,czy innych systemów autoryzacji jak kadm.Stąd moje zdziwienie i założenie tematu.

Czego nie widziałeś, nie znaczy że tego nie ma: http://forum.php.pl/index.php?act=Search&a...ite=%2Bmod_auth

a już samo auth, ma bardzo dużo wyników: http://forum.php.pl/index.php?act=Search&a...ighlite=%2Bauth z czego nie ma uwzględnionych dokładnie wszystkich możliwych metod, bo jest ich na prawdę wiele. Wszystko zależy od twojego pomysłu na implementacje autoryzacji. To jaki mechanizm składowania wybierzesz to kwestia tego który jest ci potrzebny (różne aplikacje, różne wymagania).