[php] jak nejlip zabezpecit stranku

Webdesign, HTML, CSS, Flash, PHP, ASP, .NET, JavaScript. Kritika www stránek na Smetišti.

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod stando2002 25. 3. 2007 17:44

Ahoj,
delem jednu stranku, kterou chci zabezpecit pomoci hesla - t.j. informace na ni se zobrazi az po prihlaseni...
Chtel bych se proto zeptat jak nejlip takovouhle stranku zabezpecit?
Zatim to delam pres SESSION-promennou, ale nejsem jisty jestly je to nejlepsi zpusob.
Kazdou radu uvitam. Dik


// mbing : Téma přesunuto ● z Programování do Tvorba webových stránek a aplikací.
stando2002
Junior
Uživatelský avatar

Odeslat příspěvekod Madcap. 25. 3. 2007 20:02

Udělej si v databázi tabulku, kde budeš mít id uživatele, jméno, md5 nebo sha1 hesla a náhodně generovaný klíč, který budeš používat pro identifikaci uživatele po přihlášení. Při přihlášení uživatele (jméno a hash hesla se shodují) vygeneruj náhodný klíč, ulož jej do databáze a zároveň pošli do cookies nebo session. Pomocí tohoto klíče potom identifikuješ uživatele...
Madcap.
Junior

Odeslat příspěvekod tark 25. 3. 2007 21:39

Session v pohode staci, pripadne si k tomu dodelej overovani IP adresy, prip. dalsich udaju (napr. verzi OS, browseru atp.)
tark
Junior
Uživatelský avatar

Odeslat příspěvekod Vebloud 26. 3. 2007 09:50

Žít a nechat žít, ty máš svůj názor, já mám svůj názor, já ti nebudu nutit svůj, nemusím souhlasit s tvým, ale udělám vše, abys ho mohl svobodně vyjádřit.
Vebloud
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod 2ge 27. 3. 2007 08:46

session je ok, overovanie na IP nie je dobry sposob (niektorym sa pocas prenosu menia IPecky), mozno useragent...
SubDownloader - stahuj a nahravaj titulky k filmom pomocou opensource programu z OpenSubtitles.org
2ge
Junior
Uživatelský avatar

Odeslat příspěvekod Vebloud 27. 3. 2007 12:45

Já vím, to musím opravit, krom toho je to zmíněno i pod článkem v diskuázi.
Žít a nechat žít, ty máš svůj názor, já mám svůj názor, já ti nebudu nutit svůj, nemusím souhlasit s tvým, ale udělám vše, abys ho mohl svobodně vyjádřit.
Vebloud
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Kryštof Korb 28. 3. 2007 16:36

já používám jen session, prostě pokud jsou přihlašovací údaje dobře, vytvoř session a na každý stránce ověřím jestli je session zaregistrována ;) dá se to obejít snad jen ukradnutím cookies ;)
near field | Úplně všechno o NFC.
Kryštof Korb
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Z@chi 28. 3. 2007 18:57

Urcite ti bude stacit SESSION. Ovsem je nutne dodrovat spravne funkce pro praci se session.
Popripade HTTP autorizace, ale myslim si ze SESSION ve vetsine pripadu staci.
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod Vebloud 29. 3. 2007 10:37

Pokud chceš hodně bezpečí, tak vylepšit to snad jde už jenom pomocí https. Na zabezpečení souborů pak http auotrizace.
Žít a nechat žít, ty máš svůj názor, já mám svůj názor, já ti nebudu nutit svůj, nemusím souhlasit s tvým, ale udělám vše, abys ho mohl svobodně vyjádřit.
Vebloud
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Z@chi 29. 3. 2007 13:01

nebo muzes vytvaret hash hesla primo na strane klienta, abys ochranil heslo. Mam doma funkci v javascriptu a nekdy to pouzivam.
Bohuzel kdyz nekdo bude snifovat, tak je mu v tomto pripade jedno, jestli zjisti heslo, nebo jeho hash, protoze se prihlasi stejne tak.
Z@chi
Junior
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků