[PHP]Bezpieczeństwo podstrony Opcje

[shark121]

Mam jedno krótkie pytanie odnośnie zabezpieczania dostępu dla niepowołanych osób do jednej z podstron. Mianowicie, zrobiłem inputa do którego należy wpisać hasło dostępu, które następnie porównywane jest z hasłem ustalonym przeze mnie. Jeśli oba hasła będą się zgadzać użytkownikowi zostanie wyświetlona dalsza zawartość. Nic z mysql, samo php. Czy jest to bezpieczne?

Ten post edytował shark121 17.03.2009, 13:57:23

[zzeus]

kodowane md5()

[shark121]

niestety tego nie wiem, ponieważ taki system zabezpieczeń do panelu administracyjnego posiada pewna strona, a ja próbuje ich przekonać że nie jest to najbezpieczniejszy sposób ochrony

[Spawnm]

a dane przesyłane get czy post?
jak get to nie jest bezpieczna

[shark121]

nie no jasne, że POST

[ostrylg]

A gdzie przechowujesz ustalone przez siebie hasło ?

[shark121]

czytaj mój ostatni post, hasło najprawdopodobniej jest w zmiennej i jest tylko porównywane

[krowal]

W sumie to jest tak samo bezpieczne jak sprawdzanie danych z bazy. W końcu nie poznasz hasła dopóki nie będziesz miał dostępu do plików na serwerze. A jeśli masz dostęp do plików na serwerze to równie dobrze możesz całkiem wyłączyć sprawdzanie poprawności hasła i wtedy już nie ma znaczenia czy jest to hasło pobierane z bazy czy przechowywane w zmiennej

[Spawnm]

ale jeśli hasło jest w bazie i dane do pokazania są w bazie to zwykły LFI nie wystarczy do odczytu info
Tyle że pojawia się zagrożenie ataku sql injection