 problem z bezpieczenstwem, uwierzytelnianie w php |
  |
| problem z bezpieczenstwem, uwierzytelnianie w php |
 26.02.2005, 19:17:58
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 2 Pomógł: 0 Dołączył: 26.02.2005 Ostrzeżenie: (0%) 
 |
sytuacja wygląda tak:
na red hacie 9.0 mam baze mysql, którą obsługuję za pomocą przeglądarki internetowej (Mozilla z php) - nie ma żadnego połączenia z netem, ani siecią, problem dotyczy uwierzytelniania użytkownika (nie nawiązuję stałego połączenia z bd!!) -start: użytkownik podaje hasło i login do bd, które za pomocą FORM (bez szyfrowania) przekazuję do kolejnej podstrony i nawiązuję połączenie z bd - jeśli połączenie przebiega pomyślnie to ok, jeśli nie to but :) i teraz jest problem: co wybrać??...bo wszystkie wersje i tak są do bani :( : -wersja1. podane powyżej hasło i login lądują w pliku (nie zaszyfrowane) i za pomocą nich wykonuję kolejne połączenia z bd (a po wyjściu z przeglądarki plik jest kasowany) -wersja2. wykorzystuję include() -wersja3. pozostawiam w otawartym kodzie php hasło i login do bd rezygnując tym samym z bezpieczeństwa (cała nadzieja w logowaniu do OS) mała dygresja: w tym wszystkim chodzi mi przede wszystkim o bezpłatność całego systemu; chyba wykorzystam wersję 2 i będę się modlił, żeby nikt niepowołany nie dostał w łapy pliku z loginem i hasłem... za odpowiedzi z góry dziękuję! mój mail: bomalal@wp.pl_wyrzuc_to |
 |
 
|
|
26.02.2005, 23:27:43
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 91 Pomógł: 0 Dołączył: 14.02.2005 Ostrzeżenie: (0%)
|
a nie mozesz wszystkich plikow konfiguracyjnych razem z haslami trzymac poza drzewem www? skoro laczysz sie przez przegladarke to moze warto dorobic autoryzacje poprzez .htaccess i zezwolic na polaczenia z baza wylacznie przez localhost? jeszcze warto uszczelnic apacza i to powinno wystarczyc. jezeli to Ci nie wystarcza to mozesz jeszcze zmusisc apacza do szyfrowania polaczen.
-------------------- "... - Water's wet, the sky is blue and old Satan Claus Jimmy, he's out there and he just gettin' stronger.
- So what do we do about that? - Be prepared son that's my motto, be prepared..." |
|
|
|
|
27.02.2005, 19:53:04
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 2 Pomógł: 0 Dołączył: 26.02.2005 Ostrzeżenie: (0%)
|
cały mój problem polega na tym, że nie jestem przyzwyczajony, żeby user miał dostęp do kodu źródłowego (bo nie ma skutecznego sposobu, żeby zabezpieczyć sie przed wyświetlaniem źródła strony) i właśnie o to rozbija sie całe bezpieczeństwo, idealnym rozwiązaniem byłaby możliwość szyfrowania i odszyfrowania hasła i loginu, ale z tego co wiem to w php można tylko szyfrować, więc i tak do bani... popróbuję tak jak piszesz z .htaccess, a miałbyś jakiś pomysł, jak zaszyfrować pliki *.php, tak, żeby nawet 'root' (RH9.0) bez hasła nie miał do nich dostępu?
|
|
|
|
|
27.02.2005, 20:15:06
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 91 Pomógł: 0 Dołączył: 14.02.2005 Ostrzeżenie: (0%)
|
no wiec tak:
1. wszelkie operacje na bazie danych i tak sa przechowywane w postaci jawnej w logach bazy, a w szczegolnosci loginy i hasla. 2. w php mozna zarowno szyfrowac jak i deszyfrowac dane, odsylam do manuala, w ktorym sa opisane odpowiednie funkcje, badz proponuje napisac wlasna, 3. swoja droga nie za bardzo rozumiem, po co sie tak bardzo bronic przed rootem skoro on i tak z logow moze wyczytac login i haslo ktore przychodzi z formatki, 4. zrodlo strony mozesz zabezpieczyc poprzez uszczelnianie apacza, mozesz rowniez dodatkowo uzyc z ktoregos kompilatora kodu, pare dyskusji na ten temat bylo na forum, -------------------- "... - Water's wet, the sky is blue and old Satan Claus Jimmy, he's out there and he just gettin' stronger.
- So what do we do about that? - Be prepared son that's my motto, be prepared..." |
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 26.06.2025 - 05:31 |
