mam takie 2 pytanka
1. czy POST jest na tyle bezpieczne ze mozna nim przesylac dane np. o zalogowaniu isera??
2. jak zabazpieczyc pliki przed otwarciem z poziomu przegladarki i/lub zeby nie mozna z nich bylo odczytac przez niepowolane osoby danych o hasle ale zebm ja je mogl potem odczytac czyli md5 odpada...

Zalezy o jakim bezpieczenstwie mowisz. Bo jesli zakladac, ze ktos jest w stanie przejac dane miedzy klientem a serwerem, to nie jest bezpieczny, bo dane nie ida zakodowane.


.htaccess lub rozszerzenie .php (czy inne ktore serwer parsuje jako php) zeby nie dalo sie otworzyc pliku z poziomu przegladarki.

mam tylko rozszerzenie pliku dac na *.htaccess ?
dzieki

na Linuchach wystarczy ustawic odpowiednie uprawnienia na plik. Poczytaj sobie o chmod.

Jeśli chcesz większego bezpieczeństwa to użyj ssl.

Nie.... nie....

Albo rozszerzenie .php i w nim trzymasz haslo np. tak:

Jak ktos wpisze bezposrednio z przegladarki adres tego pliku to nic mu to nie da, bo plik zostanie najpierw sparsowany przez php, a ze nie ma tu zadnego echo czy print'a to nic nie zostanie wyslane do przegladarki.
Potem jak bedziesz chcial uzyc tego hasla to tylko robisz include tego pliku i masz haslo w zmiennej.

A co do .htaccess to jest to specjalny plik do konfiguracji niektorych opcji apache'a z poziomu dowolnego katalogu. Np. mozesz sobie ustawic zeby plik haslo.txt byl niedostepny z zewnatrz. O szczegolach mozesz poczytac w manualu lub na forum pod haslem htaccess. Niestety nie jest to opcja dostepna na wszystkich serwerach.

no dobra ale jak w tedy pobiore dane z php do tablicy to sie sypnie bo jako pierwszy el. tablicy bedzie jakas linia skryptu php

tak jak napisal FiDO:

plik cfg.php (choc dla odroznienia go od innych plikow mozna dac np cfg.inc.php)

[php:1:80d54fff11]
<?php

$haslo = "jakies_tajne_haslo";

?>
[/php:1:80d54fff11]

Twoj skrypt np. index.php

[php:1:80d54fff11]<?php
include 'cfg.php';

print $haslo;

?>[/php:1:80d54fff11]

ale na co mi index.php jak ja chce zabezpieczyc .txt ?

a co t za różncia czy hasło bedziesz miał w pliku php czy w txt. jedyna jes taka ze jak koleś odwołasie do ieg prsez przeglądarke to ie zoabczy hasła

panowie jakis poziom swoich wypowiedzi trzymajcie bo ciezko sie czyta cos takiego

Kiedyś czytałem jakąś mądrą wypowiedź w której gość argumentował że samo trzymanie haseł w plikach php jest do kitu, bo serwer może się wysypać i serwować wszystko jako txt... takie wypadki podobno się zdarzają 8O .

Anyway, jedyny poprawny IMHO sposób ochrony ważnych danych przed użytkownikami "spoza" serwera to trzymanie ich w osobnym miejscu, do którego nie mają dostępu. Tzn nie w document_root serwera HTTP. Co zresztą powinno się tyczyć całego kodu php, który nie jest tam niezbędny, ale to swoją drogą :wink: .

A co ochrony plików przed userami tego samego serwera - bo nie wiem o co chodziło autorowi - jest znacznie gorzej, chociaż zależy od systemu. Na WinNT dałbym dla siebie full control, dla Apacha read. Na Linuxie albo read for all, albo owner: Apache. Serce się kraje na myśl Windows jest pod pewnym względem lepszy :-# Zawsze możesz trzymać w bazie, ale wtedy trzeba chronić hasło od bazy - błędne koło.

Ilisc metod zabezpieczen swiadczy o tym ze nie ma jednego najlepszego sposobu.
Ale stosowanie mieszanych metod zabezpieczen ( np haslo w bazie haslo do bazy w skompilowaniym czyms odpalonym w skrypcie cgi ) daje napewno wieksze bezpieczenstwo niz haslo w samym skrypcie ... czy czyms takim.
Generalnie metode trzeba dopasowc do uslugi.
chcesz wystawin kawalek muzy na haslo zrob plik z haslami .. , albo /.htaccess, wysylaj plik w headerach i zmianiaj nazwe aby nie rozwiazac(lub nie wpasc) linku bezposrednio do pliku.
A jak chcesz poufne dane wystawiac przez siec .... no to radzil bym pokombinowac
Pozdrawiam
a i pamietajcie nie ma zabezpieczenia ktorgo nie da sie zlamac

To zlam SHA1