[php] kilka pytan Opcje

[outsider]

Witam

Mam kilka pytan. 

1. Co uzywac, ereg czy eregi i dlaczego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

2. Czy bedzie wieksze bezpieczenstwo hasel jesli zastosuje md5 i: podziele zhaszowane haslo na pol, z dwoch polowek odejme po 3 znaki na koncu, dodam kombinacje znakow z maila (np. od 1-4 litery maila), polacze ostatecznie druga polowke + kombinacja z maila + pierwsza polowka. Ochronie dzieki temu hasla, jesli w najgorszym wypadku ktos dostanie sie do bazy ?

3. Czy zastosowac ta sama technike do przechowania hasla w cookies - czy inna ?

4. W jednym miejscu mam warunek:

Kod

if($_SESSION['zalogowano'] == "tak") {

(czyli czy uzytkownik jest zalogowany)

To czy haker moglby w jakis sposob zmienic SESSION['zalogowano'] na "tak"(gdy nie jest zalogowany) ? Czy moze tylko odczytac jaka wartosc jest w tej zmiennej ?

Za odp. z gory dziekuje (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[decha-design]

1. Co uzywac, ereg czy eregi i dlaczego (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ani tego ani tego ... korzystać z preg" title="Zobacz w manualu PHP" target="_manual .. http://pornel.net/ereg

2. Czy bedzie wieksze bezpieczenstwo hasel jesli zastosuje md5 i: podziele zhaszowane haslo na pol, z dwoch polowek odejme po 3 znaki na koncu, dodam kombinacje znakow z maila (np. od 1-4 litery maila), polacze ostatecznie druga polowke + kombinacja z maila + pierwsza polowka. Ochronie dzieki temu hasla, jesli w najgorszym wypadku ktos dostanie sie do bazy ?

... wystarczy samo md5() ... jak ktoś dostanie się do bazy to i tak Ci rozwali strone, a jak już bedzie mu zalezalo na hasłach (tylko) to dostanie ciąg 32 znaków z którymi nic nie zrobi - Nie da się tego odkodować. md5() to funkcja mieszająca nie kodująca ... czy jak to tam zwał

3. Czy zastosowac ta sama technike do przechowania hasla w cookies - czy inna ?

Najlepiej to nie przechowuj haseł w kukies i będzie bez problemu. W ciastkach najlepiej trzymać takie rzeczy, które nie są zbyt istotne np. $_SESSION['logged_in'] = true;

Kod

if($_SESSION['zalogowano'] == "tak") {

(czyli czy uzytkownik jest zalogowany)
To czy haker moglby w jakis sposob zmienic SESSION['zalogowano'] na "tak"(gdy nie jest zalogowany) ? Czy moze tylko odczytac jaka wartosc jest w tej zmiennej ?

Tak, może zmienić ... znaczy przechwycić sesje innego użytkownika. Dlatego w sesjach najlepiej trzymać jeszcze IP i Host z jakiego użytkownik się zalogował i sprawdzać czy jest zgodny z tym co teraz ma dany, zalogowany użytkownik na stronie ... jeżeli nie po prostu robisz die() i haker ma pustą, białą stronę...

[outsider]

Nie da się tego odkodować

A brute force ? Ale tak czy inaczej watpie zeby komus zalezalo na haslach, chociaz niektorzy maja takie same na maila...

Chce aby uzytkownik mogl zaznaczyc opcje "Zapamietaj", nie mam zadnego pomyslu jak by to zrobic aby hasla nie bylo w cookies.

[decha-design]

To na pewno nie na sesjach ... był juz taki temat. Robisz ciasteczko ...

[PHP] pobierz, plaintext 
<?php
setcookie("LoggedIn", true, time()+60*60*24);
?>
[PHP] pobierz, plaintext 

po 1 dniu ciasteczko szlag trafi =)

I później sprawdzasz czy użytkownik jest zalogowany, jeżeli nie to sprawdzasz czy istniej ciasteczko

[PHP] pobierz, plaintext 
<?php
if($_COOKIE['LoggedIn'] == true)
?>
[PHP] pobierz, plaintext 

... jeżeli true to logujesz, jeżeli nie to formularz ...

A co do haseł, to nie musisz się tak męczyć, możesz dorobić tzw. sól ...

[PHP] pobierz, plaintext 
<?php
$password = 'dupa';
$salt = 'SALT_';
$password .= $password + $salt;
$password = md5($password);
?>
[PHP] pobierz, plaintext 

czy jakoś tak ...

Ten post edytował decha-design 11.01.2009, 11:50:49

[outsider]

W Manualu znalazlem to o soli:

Kod

$hash = md5($salt1.$password.$salt2);

Co do "zapamietaj", rowniez w manualu podano ciekawe rozwiazanie:

Kod

$cookie = md5 ($username.$password.$_SERVER['REMOTE_ADDR']);

setcookie ("login", $cookie);

Dzieki wielkie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[decha-design]

a jak ktoś ma zmienne IP? co wtedy?

[pinochet]

[PHP] pobierz, plaintext 
<?php
if($_COOKIE['LoggedIn'] == true)
?>
[PHP] pobierz, plaintext 

... jeżeli true to logujesz, jeżeli nie to formularz ...

hehe a to dobre ;] ja sobie napisze ciastko z taką zmienną na dysku i co (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ... będę zalogowany tak?
temat był juz poruszany kilka razy na forum ... np tu: http://forum.php.pl/index.php?showtopic=10...l=autologowanie

[outsider]

z tym IP to nie pomyslalem.

Jesli chodzi o sesje i cookies.
1. Czy haker moglby przechwycic od kogos sesje lub cookies ?

Z sesja jest problem rozwiazany bo mozna w sesje wsadzic jakas kombinacje znakow + IP zalogowanego i md5(). Porownojac widzimy czy ktos ma sesje z nie tego IP - przy zmiennych IP bedzie trzeba sie zalogowac jeszcze raz, ale to sie zdarza bodajze 1 na dzien.
Z cookies nie wiem, bo zamierzam trzymac w nim jakis ciag znakow ktory jest w bazie danych, porownojac cookies z baza widzimy do kogo nalezy i od razu ta osobe logujemy, tylko gdy ktos sobie takie cookies "podpierdzieli" ? (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) Moze ma ktos jakis pomysl ? Czy jest to nieuniknione ?

Ten post edytował *OuTSideR* 12.01.2009, 17:12:56