Cześć!
Muszę napisać w PHP prosty system logowania i wyświetlania zalogowanym użytkownikom ich danych (zawartych w sql).
Rzecz w tym, że musito być "bezpieczne".
Poradzicie na co mam zwrócić uwagę?
Wiem tyle żeby używać https oraz trzymać w bazie/pliku zakodowane hasła.
Z góry dziękuję za wszelkie wskazówki i linki.
Do kontaktu z bazą użyj http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO --> przyjrzyj się "podpinaniu".
Hasła oczywiście zakodowane(PHP ma wbudowane funkcje do tego). Z https, powodzenia. Można użyć OpenSSL, z tego co wiem to na podstawie Apache da się to zrobić bezproblemowo, ale tylko próbowałem na localhoscie.
Weniu napisał(a):
Do kontaktu z bazą użyj http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
dlaczego PDO nie zwykłego mysql?
Z https, powodzenia.
co w nim złego?
Nie napisałeś z jakiej bazy chcesz korzystać, a PDO jest uniwersalne.
W dodatku nie napisałeś czy sam będziesz stawiał serwer, czy tą stronkę umieścisz w sieci. Jeśli chodzi o https. Bo generatory kluczy itp to wujek google spokojnie pomoże znaleźć.
W dodatku czy ten system logowania ma być "bezpieczny" czy "super bezpieczny".
Ja jak pisze takie rzeczy do siebie na uczelni to:
Pewnie to tylko podstawowe czynności, ale więcej mi nie przychodzi do głowy. Może jakiś pros się wypowie bo też bym się czegoś więcej dowiedział.
na uw-team.org jest seria o błędach w php:
http://www.uw-team.org/videoarty_security.html
nic nie wspomniane o CSRF, ale jeżeli masz tylko logowanie + wyświetlanie info, bez modyfikacji ich np. po zalogowaniu - to teoretycznie Cię to nie dotyczy (ale znać warto)