ďťż

system logowania by ekspert czy bezpieczny

Strona początkowa

Podstrony

telcocafe

Witam

Mam pytanie co do systemu logowania który ukazał się w jednym z ostatnich numerów. Czy ten system jest bezpieczy i mogę go umieścić na swojej stronie i spać spokojenie? Oczywiście umieszczony skrypt będzie po małej przeróbce, nazwy użytkowników będą w bazie, hasła też, zaszyfrowane np algorytmem MD5.
To jak dobry jest ten skrypt czy ma jakieś słabe punkty?

Wydaje mi się, że nie analizowałem dość dokładnie ten skrypt (oczywiście nie jestem ekspertem mogę się mylić) i nie posiada żadnych poważniejszych błędów. Oczywiście one mogą wystąpić po twojej stronie. Pamiętaj o zabezpieczeniu pól wejściowych do wpisania loginu i hałsa. Dam ci linka gdzie występuje funkcja która prawie w 100% zabezpiecza przed atakiem SqlInjection: link. Oczywiście strona w języku polskim.
Użytkownik pura89 edytował ten post 21 marzec 2006, 18:25
hmm... o ile mi sie zdaje, to ten skrypt logowania był na plikach, a jak ty robisz na bazie... :)
Proponuję jeszcze zadbać o SQL Injection; co do haszowania haseł, to może hasz hasza hasła, tj. np. md5(sha1())?
IMHO raczej powinno być bezpieczne...

//edit: pura89 mnie wyprzedził
Użytkownik Coldpeer edytował ten post 21 marzec 2006, 18:30

Pamiętaj o zabezpieczeniu pól wejściowych do wpisania loginu i hałsa. Dam ci linka gdzie występuje funkcja która prawie w 100% zabezpiecza przed atakiem SqlInjection: link. Oczywiście strona w języku polskim.

Chodzi o zabezpieczenie żeby np nie dało się wpisać w pole login zapytania do bazy
No raczej takie coś nie wchodzi w grę ;)
Jeśli loginu podanego w tym polu nie ma w bazie - wyświetla komunikat z błędem.

albo wykonać "złośliwego" pliku?

No raczej takie coś nie wchodzi w grę ;)
Jeśli loginu podanego w tym polu nie ma w bazie - wyświetla komunikat z błędem.

czyli?

No to odpowienie wyrazenie regularne moze przeciez zalatwic sql injection.

Najpierw sprawdza czy login / haslo odpowiada wyrazeniu a jesli tak to wykonuje zapytanie do bazy, jesli jednak nie to tylko
die('zle dane!'); exit;

Sitedesign by AltusUmbrae.

Darmowy hosting zapewnia PRV.PL[X]

Drogi uzytkowniku!

W trosce o komfort korzystania z naszego serwisu chcemy dostarczac Ci coraz lepsze uslugi. By moc to robic prosimy, abys wyrazil zgode na dopasowanie tresci marketingowych do Twoich zachowan w serwisie. Zgoda ta pozwoli nam czesciowo finansowac rozwoj swiadczonych uslug.

Pamietaj, ze dbamy o Twoja prywatnosc. Nie zwiekszamy zakresu naszych uprawnien bez Twojej zgody. Zadbamy rowniez o bezpieczenstwo Twoich danych. Wyrazona zgode mozesz cofnac w kazdej chwili.

Tak, zgadzam sie na nadanie mi "cookie" i korzystanie z danych przez Administratora Serwisu i jego partnerow w celu dopasowania tresci do moich potrzeb. Przeczytalem(am) Polityke prywatnosci. Rozumiem ja i akceptuje.

Tak, zgadzam sie na przetwarzanie moich danych osobowych przez Administratora Serwisu i jego partnerow w celu personalizowania wyswietlanych mi reklam i dostosowania do mnie prezentowanych tresci marketingowych. Przeczytalem(am) Polityke prywatnosci. Rozumiem ja i akceptuje.

Wyrazenie powyzszych zgod jest dobrowolne i mozesz je w dowolnym momencie wycofac poprzez opcje: "Twoje zgody", dostepnej w prawym, dolnym rogu strony lub poprzez usuniecie "cookies" w swojej przegladarce dla powyzej strony, z tym, ze wycofanie zgody nie bedzie mialo wplywu na zgodnosc z prawem przetwarzania na podstawie zgody, przed jej wycofaniem.