[MySQL][PHP]zabezpieczenia php + mysql Opcje

[marcus753]

witajcie robie bazę danych lista uczniów+oceny swojej grupy dostępne przez internet po zalogowaniu. zależy mi na dużym bezpieczeństwie tych danych bo na pewno będą uczniowie którzy będą próbowali się włamać moje propozycje zabezpieczeń:

mieszanie haseł md5 ? może coś nowszego ?

zabezpieczenie się przed stworzeniem sesji bądź przesłaniem adresu z obecną sesją

[PHP] pobierz, plaintext 
<?php 
session_start();        
if (!isset($_SESSION['sprawdz'])){
 	session_regenerate_id();
	$_SESSION['sprawdz'] = true;
	$_SESSION['adres_ip'] = $_SERVER['REMOTE_ADDR'];
}
if($_SESSION['adres_ip'] !== $_SERVER['REMOTE_ADDR']){
echo 'Błąd: Próba przejęcia sesji';
exit;
}
?>
[PHP] pobierz, plaintext 

przy pobieraniu danych z formularza:

[PHP] pobierz, plaintext 
mysql_real_escape_string();
htmlspecialchars();
strip_tags();
[PHP] pobierz, plaintext 

jak myślicie co jeszczed mogę zrobić ? jakieś proozycje sugestie ?
na stronie korzystam jedynie z formularzy wprowadzanie danych+sesje zadne pliki nie są includowane itp

pozdrawiam

Ten post edytował marcus753 18.05.2011, 19:59:47

[Noone2011]

W sumie to mi przyszło do głowy żeby wykorzystać kod captha do logowania się. Tzn. obok podania loginu i hasła wymagać także przepisania także liter z obrazka captha. To powinno ustrzec przed atakami słownikowymi oraz atakami brutalnymi.

W zasadzie wszystko co może pochodzić z formularza powinieneś od razu uważać za złe i zagrażające tzw. biała lista jeśli się nie mylę. Możesz jeszcze używać wyrażeń regularnych w funkcji preg_match i szukać ewentualnie jakichś zagrażających ciągów znakowych typu SQL Injection.

Pzdr

[aeaeae]

Co do bezpieczeństwa to mało się znam, ale na pewno mogę dodać to. Tutaj http://pl.wikipedia.org/wiki/MD5 pisze: "Obecnie algorytm MD5 nie jest uważany za bezpieczny i w jego miejsce zaleca się stosowanie algorytmów z rodziny SHA-2". PHP i MySQL mają takie funkcje. Poczytaj jeszcze na necie ...

[Agape]

captha? Istnieja decapthery. Moim zdaniem juz lepiej zeby po 2 blednych probach blokowal logowanie na iles min. Chyba ze do tego jeszcze capthe po 2 nieudanych probach. Byle kto niebedzie sie za to bral;)

[Rid]

Można postawić to na protokole SSL, zwiększy bezpieczeństwo przed nasłuchem:
http://www.besthostratings.com/articles/fo...l-htaccess.html
Dodatkowo, na cookies ustawić atrybut HTTPOnly:
http://ilia.ws/archives/121-httpOnly-cooki...in-PHP-5.2.html

Jeśli chodzi o bazę danych można by,także zaszyfrować połączenie z bazą danych:
http://dev.mysql.com/doc/refman/5.0/en/sec...onnections.html

Ten post edytował Rid 19.05.2011, 10:07:19

[marcus753]

dzięki wszystkim za pomoc zabezpieczenia będę robił w sb-nd więc napewno jeszcze napiszę jak będę miał wątpliwości
Pozdrawiam !