Podstrony
- telcocafe
- Problem z SP2 NIE uruchamia mi sie system !!!
- Problem z Koszem systemowym POMOCY!!!
- Bardzo wolne ładowanie systemu Please, help !!!
- [html, php, java?]Jak zrobić system szablonów aby arty dodawała osoba nieznająca HTML-a,PHP
- Start programów Pomocy!!!Podczas uruchamiania systemu...
- Gotowy skrypt... gotowy skrypt systemu newsów.
- Darmowy system newsów z określoną liczbą newsów
- Usuwanie instalki WinXP dwa systemy winXP
- [HTML + PHP] System rejestracji w html +blokada
- Problem z zamknieciem komputera i systemu Wylaczam komputer a on wlacza sie ponownie
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- kochanie.xlx.pl
telcocafe
WitamMam pytanie co do systemu logowania który ukazał się w jednym z ostatnich numerów. Czy ten system jest bezpieczy i mogę go umieścić na swojej stronie i spać spokojenie? Oczywiście umieszczony skrypt będzie po małej przeróbce, nazwy użytkowników będą w bazie, hasła też, zaszyfrowane np algorytmem MD5.
To jak dobry jest ten skrypt czy ma jakieś słabe punkty?
Wydaje mi się, że nie analizowałem dość dokładnie ten skrypt (oczywiście nie jestem ekspertem mogę się mylić) i nie posiada żadnych poważniejszych błędów. Oczywiście one mogą wystąpić po twojej stronie. Pamiętaj o zabezpieczeniu pól wejściowych do wpisania loginu i hałsa. Dam ci linka gdzie występuje funkcja która prawie w 100% zabezpiecza przed atakiem SqlInjection: link. Oczywiście strona w języku polskim.
Użytkownik pura89 edytował ten post 21 marzec 2006, 18:25
hmm... o ile mi sie zdaje, to ten skrypt logowania był na plikach, a jak ty robisz na bazie... :)
Proponuję jeszcze zadbać o SQL Injection; co do haszowania haseł, to może hasz hasza hasła, tj. np. md5(sha1())?
IMHO raczej powinno być bezpieczne...
//edit: pura89 mnie wyprzedził
Użytkownik Coldpeer edytował ten post 21 marzec 2006, 18:30
Pamiętaj o zabezpieczeniu pól wejściowych do wpisania loginu i hałsa. Dam ci linka gdzie występuje funkcja która prawie w 100% zabezpiecza przed atakiem SqlInjection: link. Oczywiście strona w języku polskim.
Chodzi o zabezpieczenie żeby np nie dało się wpisać w pole login zapytania do bazy
No raczej takie coś nie wchodzi w grę ;)
Jeśli loginu podanego w tym polu nie ma w bazie - wyświetla komunikat z błędem.
albo wykonać "złośliwego" pliku?
No raczej takie coś nie wchodzi w grę ;)
Jeśli loginu podanego w tym polu nie ma w bazie - wyświetla komunikat z błędem.
czyli?
No to odpowienie wyrazenie regularne moze przeciez zalatwic sql injection.
Najpierw sprawdza czy login / haslo odpowiada wyrazeniu a jesli tak to wykonuje zapytanie do bazy, jesli jednak nie to tylko
die('zle dane!'); exit;