wojtekr
15.01.2004, 11:54:09
Witam, czy możecie się odnieść do następującej koncepcji logowania (mysql)
w bazie mysql przechowywane są informację na temat tego kto może się logować do bazy właściwej(aplikacji) i w jakich tabelach może robić określone zmiany, natomiast w bazie właściwej przechowywane są wszystkie inne informację taki jak imie, nazwisko itp. dzieki temu nie ma przesyłnia hasła otwartym tekstem, a zabezpieczenie nie jest tylko zabezpieczeniem systemowym? Bo tak zrozumiałem z koncepcji logowania do bazy mysql jednym userem (z pliku konf) a login jest rozrużniany z tabeli z bazy własciwej (aplikacji)
wojtekr
itsme
15.01.2004, 12:19:54
nic nie rozumiem ... prosze o sprecyzowanie problemu
scanner
15.01.2004, 12:22:42
Logowanie -> sprawdzanie loginA -> pobranie z bazy loginB -> logowanie rzeczywiste?
Jesli tak, to przerost formy nad treścią moim zdaniem.
wojtekr
15.01.2004, 12:28:58
Ale dzięki temu mamy zabezpieczenie na poziomie systemu i dodatkowo na poziomie bazy. Czy to nie warto?
scanner
15.01.2004, 12:30:36
i co z tego? Wystarczy że złamię loginA i loginB stoi przedemną otworem.
wojtekr
15.01.2004, 13:17:16
Może jeszcze raz napiszę o co mi chodzi. Z tego co wiem normalny system logowania polega na wpisaniu do pliku php loginu i hasła jednego konta- niestety jest to otwarty tekst. Tylko prawa dostępu zabezpieczają podgląd tego loginu i hasla. Natomiast login urzytkownika służy do określenia go w bazie APLIKACJA na potrzeby aplikacji. Oczywiście jest tam sprawdzany password, ale jak by ktoś złamał zabezpieczenia systemowe (plik php ma R dla Apache) to podejrzy login i hasło i może dowolnie grzebać w bazie aplikacja.
Pytanie jest takie: W jakich bazach powinno być sprawdzane haslo i login i w jakich bazach należy trzymać dane o urzytkownikach?
dzięki
Foxx
15.01.2004, 15:11:04
Przecież wystarczy wyhaszować hasło w bazie. Nikt tego nie podejrzy a jak podejrzy to nic mu z tego nie przyjdzie.
spenalzo
15.01.2004, 19:08:40
Ke?
Gdzie trzymać? W bazei danych.
O co Ci chodzi?
Mariusz(P)
16.01.2004, 09:53:00
Jak masz bazę nap. USER i wpisujesz do niej hasło to musisz dodać w zapytaniu INSERT w kolumnie np. pass M5('$pass")
[php:1:9785cac02a]<?php
$sql="INSERT INTO User(NULL,'$Nazwa',MD5('$pass'))";
?>[/php:1:9785cac02a]
następnie przy w funkcji sprawdzającej hasło musisz także go zachaszować MD5
?>[/php]
Następnie w instrukcji sprawdzającej musisz także nazwę zmiennej z hasłem zachaszować funkcją MD5
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.