Na ile bezpieczne jest przechowywanie loginu i hasła w taki sposób.
Mam plik, który w odpowiednim miejscu w skrypcie wywołuję funkcją include, a w nim:
<?
$login="aaa";
$haslo="bbb";
?>
A przy okazji. Czy poniższy zapis w pliku da się podejrzeć z poziomu przeglądarki ?
<?
jakiś tekst
?>
Plik ma oczywiście rozszerzenie *.php lecz nie ma w nim zadeklarownych żadnych zmiennych jedynie tekst.
Dzięki za pomoc !
Pełna wersja: Przechowywanie hasła
Hasło lepiej przepuść przez funkcję md5 i dopiero wtedy zapisz w pliku. Tylko pamiętaj, żeby potem przy porównywaniu przepuścić z kolei przez md5 to co wklepuje user w oknie logowania.
zawartosci pliku php nie podejrzy sie w przegladarce
Kossa
Kossa
CZemu wszyscy używają md5? Nie wiem czy wiecie jest jeszcze coś takiego jak sha1(
), oraz np. mhash( ). Co myślicie o tym??:arrow:
), oraz np. mhash( ). Co myślicie o tym??:arrow:
Kod
$uname=$_POST['user'];
$pass=$_POST['pass'];
$haslo_do_przechowania=mhash(ktoras_z_wielu_opcji, $pass, $uname);//nie wiem czy wiecie, ale mhash pozwala generować hashe za pomocą klucza (w tym przypadku $uname). A ktoras_z_wielu_opcji to może być np MHASH_MD5 lub MHASH_TIGER
$pass=$_POST['pass'];
$haslo_do_przechowania=mhash(ktoras_z_wielu_opcji, $pass, $uname);//nie wiem czy wiecie, ale mhash pozwala generować hashe za pomocą klucza (w tym przypadku $uname). A ktoras_z_wielu_opcji to może być np MHASH_MD5 lub MHASH_TIGER
Cytat
zawartosci pliku php nie podejrzy sie w przegladarce
Kossa
Kossa
niestety da rade za kazdym razem widzimy skrytpty php w postaci wyniku ich dzialania
[b]NIE DA RADY ZOBACZYĆ KODU ŹRÓDŁOWEGO PLIKU *.php Z POZIOMU PRZEGLĄDARKI
jedyny sposób to wlamanie sie na server
dziekuje
ps moze jakies motto z tego ulozyc ?
[size=24]Zaawrtość pliku
Trza troszkę logiki!!! Przecież efekt działania nawet nie stoi koło (no może w pamięci wirtualnej) pliku, a co dopiero, żeby był jego zawartością!!! A to, że widzisz w przeglądace domena.pl/index.php to tylko przypadek, gdyż dokument jest generowany przez serwer i nazwa oraz plik są wysyłane zupęłnie oddzielnie!!!
Trza troszkę logiki!!! Przecież efekt działania nawet nie stoi koło (no może w pamięci wirtualnej) pliku, a co dopiero, żeby był jego zawartością!!! A to, że widzisz w przeglądace domena.pl/index.php to tylko przypadek, gdyż dokument jest generowany przez serwer i nazwa oraz plik są wysyłane zupęłnie oddzielnie!!!
wiem ale emocje ..... ide spac bo juz gup000ty pisze
Nigdy nie mów "nigdy" :mrgreen: Przeczytałem w mądrej książce, że jeśli coś padnie na serwerze (np. interpreter php czy cuś), to może wywalić kod php do przeglądarki :mrgreen: Było to podane w kontekście includowania pliku z hasłem do bazy danych - o ile to możliwe, należy go umieszczać powyżej katalogu public_html (co sam czynię 
).
).
Msulik ma rację. Jeśli w plikach hasła są w postaci zaszyfrowanej i leżą poza strukturą katalogów dostępnych przez apache'a to możemy spać dużo spokojniej.
Sluchajcie: Jesli na serwerze nie ma obslugi php to przegladarka po uruchomieniu pliku .php pokaze caly jego kod. W takim razie, jesli cos by sie zwalilo na servie obslugujacym php, czy mozliwa jest sytuacja zeby przgladarka wyswietlila plik tak, jakby nie bylo w ogole php? (Ktos o tym pisal, ale nie dostalismy odpowiedzi). Prosze o wypowiedz kogos, kto sie zna 
.
A co do haslowania, co jest lepsze: includowanie pliku .php z niezakodowanym haslem, czy zapisywanie niezakodowanych hasel w bazie danych?
.
A co do haslowania, co jest lepsze: includowanie pliku .php z niezakodowanym haslem, czy zapisywanie niezakodowanych hasel w bazie danych?
1. Co prawda odpowiedź się poajwiła, ale powtórzę. Tak. Jest to możliwe. Niestety. Choć mi się jeszcze nigdy nie zdażyło (może po prostu mam dobrego dostawcę )
2. Najlesze jest niezapisywanie niezakodowanych haseł. Jeśli konieczna jest możłiwość wglądu do nich, to warto zastosować któryś z odwracalnych algorytmów kodowania. Zaróno MySQL jak i php oferuje nam sporo możliwości. Ostatecznie jednak uważam, że bezpieczniejsze są w bazie danych. Szczególnie jak zablokowany jest dostęp do bazy danych z innych hostów (poza localhostem).
)
2. Najlesze jest niezapisywanie niezakodowanych haseł. Jeśli konieczna jest możłiwość wglądu do nich, to warto zastosować któryś z odwracalnych algorytmów kodowania. Zaróno MySQL jak i php oferuje nam sporo możliwości. Ostatecznie jednak uważam, że bezpieczniejsze są w bazie danych. Szczególnie jak zablokowany jest dostęp do bazy danych z innych hostów (poza localhostem).
Zawsze możesz zakodować hasło również w bazie danych i dopiero robić weryfikacje na stronie po uprzednim wybraniu danych z bazy, ja tak robie i nic sobie z tego nie robie.... 
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.