Strict Standards: Resource ID#27 used as offset, casting to integer (27) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#29 used as offset, casting to integer (29) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#30 used as offset, casting to integer (30) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Версия для печати :: Безопасноть в PHP
ТвойWeb » WebMaster класс » PHP/Perl » Безопасноть в PHP

Страниц (1): [1]
 

1. Alfa - 10 Августа, 2006 - 17:04:00 - перейти к сообщению
Работая над одним проектом в котором я сделал систему аутентификации пользывателя, я задался вопросом: а не слишком-ли все просто? не будет ли все так просто взломать?

Как я все сделал:
У меня есть БД в котором хранаться все данные о сушествуюших пользывателей, в том числе есть столбец passwd которая содержит пароли пользывателей как обычный текст, без всякой шифровании.
При входе делается обычный selesct и проверяются данные из базы с данными из формы (тип поля с паролем конечно-же password, не текст) и потом если данные совпадают они записываются в переменные типа $_SESSION['var'].
Вопрос:
Пароль не может быть украденным с помошью прог которые улывливают все http запросы?
Насколько надёжны сесии, хацкеры не смогут дойти до тех самых файлах которые хранят инфу о сесиях?
Какие еше могут быть минусы в этой системе с которой я работаю?

за помошь заранее спасибо...
2. SKIF - 10 Августа, 2006 - 17:36:13 - перейти к сообщению
не знаю... насчет твоего вопроса.. но я бы не хранил чистые пароли.... вот как в IPB организованно это посмотри. Там достаточно надежно имхо. (там берется md5(password+string) в базе сохраняется именно этот хэш и переменная string.. )

до сессий сложно добраться.
3. ETC - 14 Августа, 2006 - 04:57:15 - перейти к сообщению
1. Может. Даже если он хешированный. Идентификатор сессии хранится в куках (или в адресной строке), зная его можно залогиниться.
2. Могут, если взломают сервер.
3. Просмотр паролей не должен быть возможен. Хешируй в md5.

Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0345]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33