Strict Standards: Resource ID#18 used as offset, casting to integer (18) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#23 used as offset, casting to integer (23) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#25 used as offset, casting to integer (25) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#26 used as offset, casting to integer (26) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Безопасноть в PHP
ТвойWeb ТвойWeb
Качественный Европейский хостинг
Форум для чайников
 Чат на форуме      Помощь      Поиск      Пользователи


 Страниц (1): [1]   

> Описание: ...при аутентификации пользывателя
Alfa
Отправлено: 10 Августа, 2006 - 17:04:00
Post Id



Программер лодырь


Покинул форум
Сообщений всего: 609
Дата рег-ции: Сент. 2004  
Откуда: Moldova, republic of

Карма 2




Работая над одним проектом в котором я сделал систему аутентификации пользывателя, я задался вопросом: а не слишком-ли все просто? не будет ли все так просто взломать?

Как я все сделал:
У меня есть БД в котором хранаться все данные о сушествуюших пользывателей, в том числе есть столбец passwd которая содержит пароли пользывателей как обычный текст, без всякой шифровании.
При входе делается обычный selesct и проверяются данные из базы с данными из формы (тип поля с паролем конечно-же password, не текст) и потом если данные совпадают они записываются в переменные типа $_SESSION['var'].
Вопрос:
Пароль не может быть украденным с помошью прог которые улывливают все http запросы?
Насколько надёжны сесии, хацкеры не смогут дойти до тех самых файлах которые хранят инфу о сесиях?
Какие еше могут быть минусы в этой системе с которой я работаю?

за помошь заранее спасибо...
 
 Top
SKIF
Отправлено: 10 Августа, 2006 - 17:36:13
Post Id



Advanced Member


Покинул форум
Сообщений всего: 339
Дата рег-ции: Март 2005  
Откуда: nnov

Карма 3




не знаю... насчет твоего вопроса.. но я бы не хранил чистые пароли.... вот как в IPB организованно это посмотри. Там достаточно надежно имхо. (там берется md5(password+string) в базе сохраняется именно этот хэш и переменная string.. )

до сессий сложно добраться.
 
 Top
ETC Администратор
Отправлено: 14 Августа, 2006 - 04:57:15
Post Id



Flash-coder


Покинул форум
Сообщений всего: 5275
Дата рег-ции: Дек. 2003  
Откуда: TimeZero

Карма 26




1. Может. Даже если он хешированный. Идентификатор сессии хранится в куках (или в адресной строке), зная его можно залогиниться.
2. Могут, если взломают сервер.
3. Просмотр паролей не должен быть возможен. Хешируй в md5.
 
 Top
Страниц (1): [1]
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0, скрытых: 0)
« PHP/Perl »


Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 



Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0397]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33