23-03-09, 22:27 | # 1 |
חבר וותיק
|
לוגין פשוט ומאובטח?
שלום.
אני בונה ללקוח מערכת ניהול תוכן מאוד מאוד פשוטה, כדרישתו. יהיה רק מנהל אחד - הוא, לכן יש שם משתמש אחד וסיסמא אחת. בעמוד ההתחברות לפאנל ניהול, רציתי לעשות לוגין מאוד מאוד פשוט, פשוט לקבוע במשתנה שם משתמש וסיסמא ואז לבדוק האם הפרטים שהוקשו שווים לפרטים שבמשתנה, אם כן - מתחבר אם לא אז לא. לדעתי, אם אני מאבטח מפני sql inj ו xss (את המשתנים שמתקבלים מהטופס), המערכת הזו מאוד מאוד מאובטחת לא? הפרטים לא נמצאים במסד, בקוד עצמו,זה מאוד מאובטח. מה אתם אומרים? תודה..
__________________
מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743 |
23-03-09, 22:31 | # 2 |
חבר בקהילה
|
אני מצטרף לשאלה שלו גם כן...אך אני רוצה להרחיב את הבקשה:
איך ניתן לאבטח טופס התחברות שהשמות והססמאות נמצאים במסד נתונים. ואם עושים שם וססמא בקוד עצמו...איך ניתן להצפין בצורה כזו שמי שקורא את הקוד לא ידע את השם והססמא?
__________________
אחסון אתרים, עבודות גבס בירושלים ,אינדקס אתרים ,lc980 brother ,הבלוג הקשיח ,מתקנים מתנפחים, קפה לאירועים |
23-03-09, 22:32 | # 3 |
הוסטסניון
|
אין טעם לאבטח נגד sql injections מהסיבה הפשוטה שאתה לא משתמש במסד.
אפשר לומר שזה יותר בטוח, בעיקרון אי אפשר לפרוץ אם הבנאדם לא משיג את הפרטים, אבל שחושבים על זה ... זה כולה לוגין פשוט :\ אין פה יותר מדי מה להפעיל את הראש.
__________________
"חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." |
23-03-09, 23:04 | # 4 |
חבר וותיק
|
נכון, אין טעם לאבטח מ sql, אני כבר רגיל, מכל המערכות חח.
זה כמו דף html, פשוט פשוט אבל מאובטח. לא ככה? אשמח לעוד דעות.
__________________
מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743 |
23-03-09, 23:08 | # 5 | |
הוסטסניון
|
ציטוט:
זה די דומה לאם 1=1 אז תפלוט "סבבה" ואם לא תפלוט "באסה". מה יש לפרוץ כאן :\
__________________
"חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." |
|
24-03-09, 08:23 | # 6 |
חבר מתקדם
|
וכדי שהוא לא יקרא את הסיסמא עצמה אשר רשומה בתוך הקובץ כמשתנה תשמור אותה במשתנה לאחר הצפנה של MD5 או SAH1 לא כטקסט רגיל.
|
24-03-09, 14:01 | # 7 |
חבר וותיק
|
כן, אני יצפין אותה אבל לא הבנתי 2 דברים.
1. אם בדף אני קובע משתנה למשל: $password=123456 ואז אני מצפין את המשתנה $password, מה זה נתן? הסיסמא עדיין מופיעה בקובץ באופן גלוי. 2. אז המ אם היא מופיעה בקובץ באופן גלוי? גם אם אני ירשום שם בהערה: "הסיסמא היא 123456!" אז מה? רק מנהל האתר יכול לראות את הסיסמא או מנהל השרת (במקרה ומשעמם לו לפעמים). תודה..
__________________
מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743 |
24-03-09, 14:07 | # 8 |
חבר בקהילה
|
הכוונה שלו היא שלא תצפין אותה בקוד.
תצפין אותה מחוץ לקובץ, ואז בבדיקה אתה עושה ככה PHP קוד:
|
25-03-09, 16:50 | # 9 |
חבר וותיק
|
אהה הבנתי, תודה
__________________
מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743 |
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|