לוגין פשוט ומאובטח?
 

שלום.
אני בונה ללקוח מערכת ניהול תוכן מאוד מאוד פשוטה, כדרישתו.
יהיה רק מנהל אחד - הוא, לכן יש שם משתמש אחד וסיסמא אחת.
בעמוד ההתחברות לפאנל ניהול, רציתי לעשות לוגין מאוד מאוד פשוט, פשוט לקבוע במשתנה שם משתמש וסיסמא ואז לבדוק האם הפרטים שהוקשו שווים לפרטים שבמשתנה, אם כן - מתחבר אם לא אז לא.

לדעתי, אם אני מאבטח מפני sql inj ו xss (את המשתנים שמתקבלים מהטופס), המערכת הזו מאוד מאוד מאובטחת לא?
הפרטים לא נמצאים במסד, בקוד עצמו,זה מאוד מאובטח.

מה אתם אומרים?

תודה..

אני מצטרף לשאלה שלו גם כן...אך אני רוצה להרחיב את הבקשה:
איך ניתן לאבטח טופס התחברות שהשמות והססמאות נמצאים במסד נתונים.
ואם עושים שם וססמא בקוד עצמו...איך ניתן להצפין בצורה כזו שמי שקורא את הקוד לא ידע את השם והססמא?

אין טעם לאבטח נגד sql injections מהסיבה הפשוטה שאתה לא משתמש במסד.
אפשר לומר שזה יותר בטוח, בעיקרון אי אפשר לפרוץ אם הבנאדם לא משיג את הפרטים, אבל שחושבים על זה ... זה כולה לוגין פשוט :\
אין פה יותר מדי מה להפעיל את הראש.

נכון, אין טעם לאבטח מ sql, אני כבר רגיל, מכל המערכות חח.
זה כמו דף html, פשוט פשוט אבל מאובטח.
לא ככה?

אשמח לעוד דעות.

שוב, אין פה יותר מדי מה.
זה די דומה לאם 1=1 אז תפלוט "סבבה" ואם לא תפלוט "באסה".
מה יש לפרוץ כאן :\

וכדי שהוא לא יקרא את הסיסמא עצמה אשר רשומה בתוך הקובץ כמשתנה תשמור אותה במשתנה לאחר הצפנה של MD5 או SAH1 לא כטקסט רגיל.

כן, אני יצפין אותה אבל לא הבנתי 2 דברים.
1. אם בדף אני קובע משתנה למשל:
$password=123456

ואז אני מצפין את המשתנה $password, מה זה נתן? הסיסמא עדיין מופיעה בקובץ באופן גלוי.

2. אז המ אם היא מופיעה בקובץ באופן גלוי? גם אם אני ירשום שם בהערה:
"הסיסמא היא 123456!"
אז מה? רק מנהל האתר יכול לראות את הסיסמא או מנהל השרת (במקרה ומשעמם לו לפעמים).

תודה..

הכוונה שלו היא שלא תצפין אותה בקוד.
תצפין אותה מחוץ לקובץ, ואז בבדיקה אתה עושה ככה

אהה הבנתי, תודה :)