Witam.
Zastanawiam mnie kilka rzeczy, poniewaz mój projekt bedzie w internecie jak najbezpieczniej uciec od jakich kolwiek wlaman. Napisze moze co dokonalem dotychczas i moze wtedy drodzy forumowicze doradzic mi to jeszcze nalezy zrobic.
1. Wszystkie hasla w bazie sa szyfrowane md5
2. na kazdej ze stron prywatnych ustawione sa poczatkowe zapytanie czy jestes zalogowany i jesli tak czy jestes administartorem.
3. Uzywam kilku include aby uzytkownik ni mogl wyswietlic tresci.
4. przy logowaniu sprawdzam osobe czy jest uzytkownik czy jest adminem. Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.
mam tez jeden plik w ktorym wykonywane sa pewne operacje po czym jest przekierowanie do innego pliku. Ten plik z operacjami nie wyswietla zadnej tresci tylko ma za zadanie cos wyliczyc i przekazac wartosc dalej. Czy musze ten plik zabezpieczyc? Jesli tak to jak najlepiej.
Pełna wersja: [PHP][MYSQL] Pytanie o zabezpieczenia
Cytat(escobar1983 @ 20.03.2009, 16:38:02 ) 
Witam.
Zastanawiam mnie kilka rzeczy, poniewaz mój projekt bedzie w internecie jak najbezpieczniej uciec od jakich kolwiek wlaman. Napisze moze co dokonalem dotychczas i moze wtedy drodzy forumowicze doradzic mi to jeszcze nalezy zrobic.
1. Wszystkie hasla w bazie sa szyfrowane md5
2. na kazdej ze stron prywatnych ustawione sa poczatkowe zapytanie czy jestes zalogowany i jesli tak czy jestes administartorem.
3. Uzywam kilku include aby uzytkownik ni mogl wyswietlic tresci.
4. przy logowaniu sprawdzam osobe czy jest uzytkownik czy jest adminem. Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.
mam tez jeden plik w ktorym wykonywane sa pewne operacje po czym jest przekierowanie do innego pliku. Ten plik z operacjami nie wyswietla zadnej tresci tylko ma za zadanie cos wyliczyc i przekazac wartosc dalej. Czy musze ten plik zabezpieczyc? Jesli tak to jak najlepiej.
Zastanawiam mnie kilka rzeczy, poniewaz mój projekt bedzie w internecie jak najbezpieczniej uciec od jakich kolwiek wlaman. Napisze moze co dokonalem dotychczas i moze wtedy drodzy forumowicze doradzic mi to jeszcze nalezy zrobic.
1. Wszystkie hasla w bazie sa szyfrowane md5
2. na kazdej ze stron prywatnych ustawione sa poczatkowe zapytanie czy jestes zalogowany i jesli tak czy jestes administartorem.
3. Uzywam kilku include aby uzytkownik ni mogl wyswietlic tresci.
4. przy logowaniu sprawdzam osobe czy jest uzytkownik czy jest adminem. Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.
mam tez jeden plik w ktorym wykonywane sa pewne operacje po czym jest przekierowanie do innego pliku. Ten plik z operacjami nie wyswietla zadnej tresci tylko ma za zadanie cos wyliczyc i przekazac wartosc dalej. Czy musze ten plik zabezpieczyc? Jesli tak to jak najlepiej.
1. Szyfruj albo sha1 albo double md5 polacam sha1
2. Sprawdzaj tylko tam gdzie tego potrzeba + przy wysyłaniu informacji przez formularze
3. Nie kumam. ;p .htaccess (deny from all) i po sprawie użytkownik nie otworzy nic sam
4. Nie widzę w tym większego problemu.
Przecież pliki/wpisy z sesji masz u siebie na serwerze a w np. cookie przetrzymuje tylko informacje o sesid.--
5. Jeżeli ten plik includujesz to zrób sobie tak:
W pliku, do którego includujesz:
Kod
define("SITE", TRUE);
A w pliku includowanym:
Kod
if (SITE !== TRUE) {
exit();
}
exit();
}
Cytat
1. Wszystkie hasla w bazie sa szyfrowane md5
md5" title="Zobacz w manualu PHP" target="_manual, to nie jest szyfrowanie.
Cytat
1. Szyfruj albo sha1 albo double md5 polacam sha1
jw. Oba nie należą do szyfrowania. A jeśli chodzi o podwójne hashowanie - polecam lekturę: http://forum.php.pl/index.php?showtopic=44156
Cytat
4. Nie widzę w tym większego problemu. Przecież pliki/wpisy z sesji masz u siebie na serwerze a w np. cookie przetrzymuje tylko informacje o sesid.
Niezupełnie. Domyślnie, dane sesji są trzymane w katalogu dostępnym dla wszystkich użytkowników serwera.
Cytat
Jesli jest ustawiana jest $_Session['login']. Nie wiem czy to dobry pomysl.
Jeśli uwzględnisz moją poprzednią wypowiedź, to do prostych zastosowań wystarczy. Bardziej zaawansowane rozwiązanie, to tabela np. typu memory i parę metadanych.
A jeśli chcesz bardziej wszystko zabezpieczyć, to polecam lekturę o CSRF.
Cytat
Jesli tak to jak najlepiej.
Trzymać go poza katalogiem serwera, czyli (najczęściej) wyżej niż public_html.
Problem jest tego typu iz mam test sprawdzajacy wiedze i po wykonaniu testu odpalany jest lik sumujacy odpowiedzi i chce zablokowac mozliwosc podgladu tego pliku. Jak to zrobic? Nie wchodzi w gre .htaccess i sprawdzanie loginow i hasel chce kompletnie wylaczyc mozliwosc podgladania tego pliku ale przy okazji zeby te instrukcje sie wykonywaly dla uzytkownikow. jak tego dokonac?
No to dodajesz w tym katalogu
.htaccess
o zawartości
przecież będzie dostępny plik dla skryptów...
.htaccess
o zawartości
Kod
deny from all
przecież będzie dostępny plik dla skryptów...
No tak ale on po przebytym tescie przez uzytkownika jest odpalany zeby obliczyc jego punkty i wstawic wynik do bazy a tej sytuacji nie dojdzie do tego.
przekierowani tego jest w <form action="wynik.php">
przekierowani tego jest w <form action="wynik.php">
To rozplanowujesz skrypt tak, aby same dane były trzymane w zabezpieczonym katalogu, a skrypt je dodający mógł się odpalać bez problemu.
Ok a mozesz jakis przyklad?
Oczywiście, że może(my) dać przykład. Tylko powiedz co chcesz zrobić.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.