לוגין פשוט ומאובטח? - הוסטס

dor77 · 23-03-09, 22:27

שלום.
אני בונה ללקוח מערכת ניהול תוכן מאוד מאוד פשוטה, כדרישתו.
יהיה רק מנהל אחד - הוא, לכן יש שם משתמש אחד וסיסמא אחת.
בעמוד ההתחברות לפאנל ניהול, רציתי לעשות לוגין מאוד מאוד פשוט, פשוט לקבוע במשתנה שם משתמש וסיסמא ואז לבדוק האם הפרטים שהוקשו שווים לפרטים שבמשתנה, אם כן - מתחבר אם לא אז לא.

לדעתי, אם אני מאבטח מפני sql inj ו xss (את המשתנים שמתקבלים מהטופס), המערכת הזו מאוד מאוד מאובטחת לא?
הפרטים לא נמצאים במסד, בקוד עצמו,זה מאוד מאובטח.

מה אתם אומרים?

תודה..

0xfo7d · 23-03-09, 22:31

אני מצטרף לשאלה שלו גם כן...אך אני רוצה להרחיב את הבקשה:
איך ניתן לאבטח טופס התחברות שהשמות והססמאות נמצאים במסד נתונים.
ואם עושים שם וססמא בקוד עצמו...איך ניתן להצפין בצורה כזו שמי שקורא את הקוד לא ידע את השם והססמא?

daMn · 23-03-09, 22:32

אין טעם לאבטח נגד sql injections מהסיבה הפשוטה שאתה לא משתמש במסד.
אפשר לומר שזה יותר בטוח, בעיקרון אי אפשר לפרוץ אם הבנאדם לא משיג את הפרטים, אבל שחושבים על זה ... זה כולה לוגין פשוט :\
אין פה יותר מדי מה להפעיל את הראש.

dor77 · 23-03-09, 23:04

נכון, אין טעם לאבטח מ sql, אני כבר רגיל, מכל המערכות חח.
זה כמו דף html, פשוט פשוט אבל מאובטח.
לא ככה?

אשמח לעוד דעות.

daMn · 23-03-09, 23:08

ציטוט:

נכתב במקור על ידי dor77

נכון, אין טעם לאבטח מ sql, אני כבר רגיל, מכל המערכות חח.
זה כמו דף html, פשוט פשוט אבל מאובטח.
לא ככה?

אשמח לעוד דעות.

שוב, אין פה יותר מדי מה.
זה די דומה לאם 1=1 אז תפלוט "סבבה" ואם לא תפלוט "באסה".
מה יש לפרוץ כאן :\

vadimg88 · 24-03-09, 08:23

וכדי שהוא לא יקרא את הסיסמא עצמה אשר רשומה בתוך הקובץ כמשתנה תשמור אותה במשתנה לאחר הצפנה של MD5 או SAH1 לא כטקסט רגיל.

dor77 · 24-03-09, 14:01

כן, אני יצפין אותה אבל לא הבנתי 2 דברים.
1. אם בדף אני קובע משתנה למשל:
$password=123456

ואז אני מצפין את המשתנה $password, מה זה נתן? הסיסמא עדיין מופיעה בקובץ באופן גלוי.

2. אז המ אם היא מופיעה בקובץ באופן גלוי? גם אם אני ירשום שם בהערה:
"הסיסמא היא 123456!"
אז מה? רק מנהל האתר יכול לראות את הסיסמא או מנהל השרת (במקרה ומשעמם לו לפעמים).

תודה..

DvirCohen · 24-03-09, 14:07

הכוונה שלו היא שלא תצפין אותה בקוד.
תצפין אותה מחוץ לקובץ, ואז בבדיקה אתה עושה ככה

PHP קוד:


			
$passhash = "khh3kj3h24kj23h4kj2h3423"
if ( $passhash == md5($_POST['pass']) )
...

dor77 · 25-03-09, 16:50

ציטוט:

נכתב במקור על ידי DvirCohen

הכוונה שלו היא שלא תצפין אותה בקוד.
תצפין אותה מחוץ לקובץ, ואז בבדיקה אתה עושה ככה

PHP קוד:


			
$passhash = "khh3kj3h24kj23h4kj2h3423"

if ( $passhash == md5($_POST['pass']) )

...

אהה הבנתי, תודה

23-03-09, 22:27	# 1
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	לוגין פשוט ומאובטח? שלום. אני בונה ללקוח מערכת ניהול תוכן מאוד מאוד פשוטה, כדרישתו. יהיה רק מנהל אחד - הוא, לכן יש שם משתמש אחד וסיסמא אחת. בעמוד ההתחברות לפאנל ניהול, רציתי לעשות לוגין מאוד מאוד פשוט, פשוט לקבוע במשתנה שם משתמש וסיסמא ואז לבדוק האם הפרטים שהוקשו שווים לפרטים שבמשתנה, אם כן - מתחבר אם לא אז לא. לדעתי, אם אני מאבטח מפני sql inj ו xss (את המשתנים שמתקבלים מהטופס), המערכת הזו מאוד מאוד מאובטחת לא? הפרטים לא נמצאים במסד, בקוד עצמו,זה מאוד מאובטח. מה אתם אומרים? תודה.. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

23-03-09, 22:31	# 2
0xfo7d חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 292	אני מצטרף לשאלה שלו גם כן...אך אני רוצה להרחיב את הבקשה: איך ניתן לאבטח טופס התחברות שהשמות והססמאות נמצאים במסד נתונים. ואם עושים שם וססמא בקוד עצמו...איך ניתן להצפין בצורה כזו שמי שקורא את הקוד לא ידע את השם והססמא? __________________ אחסון אתרים, עבודות גבס בירושלים ,אינדקס אתרים ,lc980 brother ,הבלוג הקשיח ,מתקנים מתנפחים, קפה לאירועים

23-03-09, 22:32	# 3
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 33 הודעות: 2,050	אין טעם לאבטח נגד sql injections מהסיבה הפשוטה שאתה לא משתמש במסד. אפשר לומר שזה יותר בטוח, בעיקרון אי אפשר לפרוץ אם הבנאדם לא משיג את הפרטים, אבל שחושבים על זה ... זה כולה לוגין פשוט :\ אין פה יותר מדי מה להפעיל את הראש. __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

23-03-09, 23:04	# 4
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	נכון, אין טעם לאבטח מ sql, אני כבר רגיל, מכל המערכות חח. זה כמו דף html, פשוט פשוט אבל מאובטח. לא ככה? אשמח לעוד דעות. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

24-03-09, 14:01	# 7
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	כן, אני יצפין אותה אבל לא הבנתי 2 דברים. 1. אם בדף אני קובע משתנה למשל: $password=123456 ואז אני מצפין את המשתנה $password, מה זה נתן? הסיסמא עדיין מופיעה בקובץ באופן גלוי. 2. אז המ אם היא מופיעה בקובץ באופן גלוי? גם אם אני ירשום שם בהערה: "הסיסמא היא 123456!" אז מה? רק מנהל האתר יכול לראות את הסיסמא או מנהל השרת (במקרה ומשעמם לו לפעמים). תודה.. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

24-03-09, 08:23	# 6
vadimg88 חבר מתקדם מיני פרופיל תאריך הצטרפות: Feb 2008 גיל: 36 הודעות: 710	וכדי שהוא לא יקרא את הסיסמא עצמה אשר רשומה בתוך הקובץ כמשתנה תשמור אותה במשתנה לאחר הצפנה של MD5 או SAH1 לא כטקסט רגיל.

24-03-09, 14:07	# 8
DvirCohen חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 151	הכוונה שלו היא שלא תצפין אותה בקוד. תצפין אותה מחוץ לקובץ, ואז בבדיקה אתה עושה ככה PHP קוד: `$passhash = "khh3kj3h24kj23h4kj2h3423" if ( $passhash == md5($_POST['pass']) ) ...`

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)