[PHP]Czy ten skrypt jest bezieczny? Opcje

[pawel.ad]

Witam!
Zrobiłem sobie GUI do dodawania rekordów do bazy danych, i chce go an stałe wrzucić na FTP, ale żebym tylko ja mógł go dodawać rekordy chce zabezpieczyć ten plik hasłem.

Znalazłem coś takiego w sieci:

[PHP] pobierz, plaintext 
<?php
 
/************************************************************************/
 
/* PHP Simple PasswordProtect v1.0                                      */
 
/* ===========================                                          */
 
/*                                                                      */
 
/*   Written by Steve Dawson - <a href="http://www.stevedawson.com" target="_blank">http://www.stevedawson.com</a>               */
 
/*   Freelance Web Developer - PHP, MySQL, HTML programming             */
 
/*                                                                      */
 
/* This program is free software. You can redistribute it and/or modify */
 
/* but please leave this header intact, thanks                          */
 
/************************************************************************/
 
##########################################################################
 
$password = "admin";  // Modify Password to suit for access, Max 10 Char.
 
##########################################################################
 
?>
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
 
<html>
 
<head>
 
<title>Simple Password Protect - PHP PasswordProtect</title>
 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
 
<style type="text/css">
 
<!--
 
P { FONT-SIZE: 8pt; COLOR: #000000; FONT-FAMILY: Verdana, Tahoma, Arial}
 
TD { FONT-SIZE: 8pt; COLOR: #000000; FONT-FAMILY: Verdana, Tahoma, Arial}
 
-->
 
</style>
 
</head>
 
<body>
 
<?php 
 
  print "<h2 align=\"center\">PHP Simple Password Protect</h2>";
 
// If password is valid let the user get access
 
if (isset($_POST["password"]) && ($_POST["password"]=="$password")) {
 
?>
 
<!-- START OF HIDDEN HTML - PLACE YOUR CONTENT HERE -->
 
 
 
  <p align="center"><br><br><br>
 
  <b>Congratulations</b><br>you have gained access to the Protected and Secret Area!</p>
 
 
 
<!-- END OF HIDDEN HTML -->
 
<?php 
 
}
 
else
 
{
 
// Wrong password or no password entered display this message
 
if (isset($_POST['password']) || $password == "") {
 
  print "<p align=\"center\"><font color=\"red\"><b>Incorrect Password</b><br>Please enter the correct password</font></p>";}
 
  print "<form method=\"post\"><p align=\"center\">Please enter your password for access<br>";
 
  print "<input name=\"password\" type=\"password\" size=\"25\" maxlength=\"10\"><input value=\"Login\" type=\"submit\"></p></form>";
 
}
 
  print "<br><br><p align=\"center\">Written by <a href=\"http://www.stevedawson.com\">SteveDawson.com</a></p>";
 
?>
 
<BR>
 
</body>
 
</html>
 
[PHP] pobierz, plaintext 

ale nie jestem przekonany czy jest to bezpieczne.
Moja strona jest o szkolnej lidze koszykówki, więc wątpię żeby ktoś chciał się tam włamać, ale bezpieczeństwa nigdy za wiele.

Czy mógłby ktoś ocenić ten skrypt pod względem bezpieczeństwa lub podać jakiś inny, lepszy?

[darko]

Ale co tu oceniać? Dwa ify? Trzymanie hasła w skrypcie php w postaci zwykłego tekstu nie jest ani wygodne, ani praktyczne. Użyj haszowania, hasło trzymaj w bazie ^*) w postaci zahaszowanej np. funkcją sha1, dodaj też sól, jest mnóstwo artykułów na ten temat, są też odpowiednie tematy na tym forum.

^*) do połączenia z bazą najlepiej użyć PDO i odpowiednio preparować zapytania i bindować parametry.

Ten post edytował darko 11.04.2010, 11:49:25