[PHP] bezpieczeństwo hasła

Odpowiedz Nowy wątek
2004-06-03 20:29

Rejestracja: 16 lat temu

Ostatnio: 9 lat temu

0

Mam pytanie, jeżeli z jednego pliki przekaże metodą POST zmienną z hasłem, w drugim sprawdzę ja zwykłym ifem

if($_POST['haslo']=='blablabla')
{
//formularz
}
else
{
echo("Błędne hasło");
}

to mogę się czuć w miarę bezpiecznie o to że nikt mi się nie włamie (oczywiście nie zabezpiecza to przed zgadnięciem hasła ;-) )?


<url>http://kooba.pl/</url>

Pozostało 580 znaków

Anonim
2004-06-03 20:48
Anonim
0

jesli bedziesz mial w plik uzapisane haslo tak poprostu 'blabla' to zaden problem. najlepiej jakos se zakoduj. np w md5() a późiej podane przez logującego hasło tez zakoduj w md5 i porównaj kody.

Pozostało 580 znaków

2004-06-03 21:50

Rejestracja: 16 lat temu

Ostatnio: 1 rok temu

0

jesli bedziesz mial w plik uzapisane haslo tak poprostu 'blabla' to zaden problem. najlepiej jakos se zakoduj. np w md5() a późiej podane przez logującego hasło tez zakoduj w md5 i porównaj kody.

Po co, z czegos takiego nie da sie wyciagnac hasla.

Cos takiego jak jest powyzej wystarczy, problemem moze byc sam POST, ale na to juz trzeba szyfrowane polaczenie.


Pozostało 580 znaków

2004-06-03 22:02

Rejestracja: 16 lat temu

Ostatnio: 2 lata temu

0

oj da się, da

wystarczy, że serwerek będzie fajnie skonfigurowany, hehe, a tak zwykle jest.
Załóżmy, że dzieje się to na shellu. Plik PHP aby mógł być wykonany to musi mieć prawo do odczytu dla wszystkich użytkowników. Tak więc dużo nie trzeba.

Pozostało 580 znaków

2004-06-04 13:02

Rejestracja: 15 lat temu

Ostatnio: 3 minuty temu

0

Tez polecam MD5. Choc MD5 wlasciwie tez niezbyt dobrze chroni, bo co to za problem zapuscic maly klasterek na 2 nocki. Najlepiej MD5 + dobrze skonfigurowany serwerek (zeby jednak nikomu sie nie udalo z zewn. dostac do pliku z MD5), albo jeszcze lepiej MD5 + CGI. Kiedys pytalem na tym forum jak zabezpieczyc w kodzie PHP haslo do bazy danych i niestety ookazalo sie, ze jedynym ratunkiem jest napisac skrypty w CGI.... :(

Pozostało 580 znaków

2004-06-04 13:56

Rejestracja: 16 lat temu

Ostatnio: 1 rok temu

0

oj da się, da

wystarczy, że serwerek będzie fajnie skonfigurowany, hehe, a tak zwykle jest.
Załóżmy, że dzieje się to na shellu. Plik PHP aby mógł być wykonany to musi mieć prawo do odczytu dla wszystkich użytkowników. Tak więc dużo nie trzeba.

Np? Przeciez apache (czy co tam sie ma) jest jedynym laczem miedzy plikiem a swiatem, a zeby ten zostal wyslany musi zostac najpierw skompilowany.


Pozostało 580 znaków

2004-06-04 16:57

Rejestracja: 16 lat temu

Ostatnio: 2 lata temu

0

Np? Przeciez apache (czy co tam sie ma) jest jedynym laczem miedzy plikiem a swiatem, a zeby ten zostal wyslany musi zostac najpierw skompilowany.

No właśnie Apache i tu jest kruczek. :d

Ale od kiedy PHP jest kompilowane?? :-8

A jeśli chodzi o sam trick to trzeba znaleźć serwer, który nie ma włączonego safe-mode, a zdarzają się i takie. Wtedy właśnie to piszemy taki mały skrypt, żeby odczytywał plik z katalogu innego uzytkownika np: fopen( "../../nazwa_usera/public_html/plik.php", "r" ) i voila. Plik aby mógł być uruchomiony musi mieć prawo do odczytu dla innych użytkowników, a takim innym użytkownikiem jest właśnie Apache. Ale oczywiście trick działa tylko jeżeli safe-mode nie jest włączone na serwerze.

Pozostało 580 znaków

2004-06-04 17:59

Rejestracja: 16 lat temu

Ostatnio: 9 lat temu

0

Ale oczywiście trick działa tylko jeżeli safe-mode nie jest włączone na serwerze.

Oj to nieciekawie bo właśnie chciałem stronę zrobić na serwerze bez safe mode. Chodzi o to żeby kilka zaufanych osób mogło dodawać newsy itp w postaci plików tekstowych, a tego się przy safe mode nie da zrobić (przynajmniej ja nie wiem jak) :-8.


<url>http://kooba.pl/</url>

Pozostało 580 znaków

2004-06-04 21:28

Rejestracja: 16 lat temu

Ostatnio: 2 lata temu

0

zwykle w safe-mode to jest tak, że nie możesz sięgać skryptem poza swój katalog ( do potomnych możesz ), nie ma listowania plików i paru tam badziewi. A jeśli chodzi o to dodawanie newsów etc to przecież wystarczy odpowiedni kod napisac :-8

Pozostało 580 znaków

2004-06-05 18:24

Rejestracja: 16 lat temu

Ostatnio: 9 lat temu

0

wystarczy odpowiedni kod napisac :-8

<?
    header('Location: index.php');
    $tytul = $_POST['tytul'];
    $autor = $_POST['autor'];
    $news = $_POST['news'];
    if($tytul!='' & $autor!='' & $news!='')
    {
       #data i czas
        $czas = date("H:i");
        $data = date("m.d.y");
        $data = $data." ".$czas;
        #połączenie stringów
        $tytul = str_replace("#", "?", $tytul);
        $autor = str_replace("#", "?", $autor);
        $news = str_replace("#", "?", $news);
        $news = str_replace("\n", "[BR]", $news);
        $s = $tytul . '#' . $data . '#' . $autor . '#' . $news . "\n";
        #zapis do pliku
        $plik = fopen("news.dat", "a");
            fputs($plik, $s);
        fclose($plik);
    }

?>
Na localhoście piknie chodzi a na free.of.pl (safe mode) ni ptoka - żadnych błędów nie wywala ale porostu nie zapisuje pliku :-/ Jeżeli to nie safe mode to nie wiem co :-(


<url>http://kooba.pl/</url>

Pozostało 580 znaków

2004-06-05 18:51

Rejestracja: 16 lat temu

Ostatnio: 2 lata temu

0

katalog w którym chcesz ten plik utworzyć lub jeżeli plik jest utworzony to musisz ustawić prawa zapisu dla innych użytkowników i będzie git.

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0