Weboldalkészítés php-oop alapon. 1.rész - 2. oldal

gzoli · 2010-01-31, 21:29

Idézet:

Geri eredeti hozzászólása

Kód:

select password from hirdetok where username = 'akármi' limit 1

Szerintem sosem szabad visszaolvasni adatbázisból a jelszót, vagy annak bármilyen tárolt formáját. Úgy gondolom, sokkal biztonságosabb, ha mi adjuk be a megadott jelszót, és megvizsgáljuk van-e ilyen sor. Esetlegesen ennél a megoldásnál ha jól vannak kezelve a " ' jelek, akkor egy próbálkozásnál biztosan nem fogja megtudni a tárolt jelszót vagy annak valamilyen kódolt változatát.

Geri · 2010-01-31, 21:32

Idézet:

hetes eredeti hozzászólása

Hogyan lehet utólag indexet csinálni egy mezőnek?
Mert erre én sem figyeltem amikor a sajátomat tákoltam. Most viszont elkezdett hirtelen nagy szükségem lenni rá.

a legegyszerűbb phpmyadminban. a mezők sorának a végén vannak ikonok amivel index-eket lehet adni a mezőkhöz. ha nincs myadmin akkor itt a leírás:
http://dev.mysql.com/doc/refman/5.0/...ate-index.html

Geri · 2010-01-31, 21:35

Idézet:

gzoli eredeti hozzászólása

Szerintem sosem szabad visszaolvasni adatbázisból a jelszót, vagy annak bármilyen tárolt formáját. Úgy gondolom, sokkal biztonságosabb, ha mi adjuk be a megadott jelszót, és megvizsgáljuk van-e ilyen sor. Esetlegesen ennél a megoldásnál ha jól vannak kezelve a " ' jelek, akkor egy próbálkozásnál biztosan nem fogja megtudni a tárolt jelszót vagy annak valamilyen kódolt változatát.

ebben az esetben a jelszónak egyedinek kellene lenni, ami nem igazán jó megoldás. azt pedig még nem tudjuk hogy a jelszót fogja e péter tárolni vagy a hashelt változatát amit nyugodtan lekérdezhetünk

bardi.peter · 2010-02-01, 05:20

Idézet:

Geri eredeti hozzászólása

azt pedig még nem tudjuk hogy a jelszót fogja e péter tárolni vagy a hashelt változatát...

A jelszót mint mindig MD5-l lesz lekódolva, és Geri figyelemfelkeltő tanácsára INDEX-k fogok elhelyezni az adatbázisban amit utólag itt is frissítek...

edem · 2010-02-01, 08:30

Idézet:

gzoli eredeti hozzászólása

Szerintem sosem szabad visszaolvasni adatbázisból a jelszót, vagy annak bármilyen tárolt formáját. Úgy gondolom, sokkal biztonságosabb, ha mi adjuk be a megadott jelszót, és megvizsgáljuk van-e ilyen sor. Esetlegesen ennél a megoldásnál ha jól vannak kezelve a " ' jelek, akkor egy próbálkozásnál biztosan nem fogja megtudni a tárolt jelszót vagy annak valamilyen kódolt változatát.

Szerintem az adatbázisban nem a jelszót kéne tárolni, hanem egy md5-el titkosított kódot, és amikor valaki beír valamit, akkor azt is md5-ölöd és összehasonlítod az md5-öket. Nem vagyok profi, de nekem ez tűnik logikusnak.

TLoF · 2010-02-01, 09:34

Akkor gyorsan tegyük hozzá még azt, hogy a publikus rainbow táblák kora óta nem tárolunk jelszót egyszerű md5 hasheléssel, hiszen igy pár másodperc alatt vissza fejthető.

A jobb megoldás az, hogy a legalább egy egyedi stringet bele rakunk mondjuk a weblap nevét.

Kód:

$passwd_hash = md5('weboldalcim' . $_POST['passwd']);

Ez sem rossz módszer, de azért még mindig sérülékenyebb az md5 táblákra, hiszen állandó a kódolási algoritmus.

A másik módszer, hogy valami változó stringet használunk kódoláshoz. Ha kikötöd, hogy a felhasználó nem cserélhet login name-t. akkor jó megoldás a következő:

Kód:

$passwd_hash = md5($_POST['user'] . $_POST['passwd']);

Ezzel sikerült elérned, hogy minden jelszó egyedi hashelést tartalmaz, vissza fejtése elég macerás.

Lehet arra hivatkozni, hogy az sha1 es hosszabb stringeket generál, és az biztonságosabb, viszont a rainbow táblás módszer ellen ez a tényező nem számit.

House · 2010-02-01, 12:32

Én nem érteni ezen téma, de tudtommal:
OOP = Obektum Orientált Programozás
OPP= ?

Mivel többször is szerepel a topicnyitó h.sz.-eiben, gondolom nem elírás.

Geri · 2010-02-01, 12:46

Idézet:

House eredeti hozzászólása

Én nem érteni ezen téma, de tudtommal:
OOP = Obektum Orientált Programozás
OPP= ?

Mivel többször is szerepel a topicnyitó h.sz.-eiben, gondolom nem elírás.

szerintem elirás. a címet javítottam.

House · 2010-02-01, 13:58

Idézet:

Geri eredeti hozzászólása

szerintem elirás. a címet javítottam.

Mivel sok helyen, látszólag következetesen volt így írva, ezért gondoltam, hogy nem elírás.

Persze a lényeg az, hogy most már legalább a cím stimmel.

Geri · 2010-02-01, 14:20

Idézet:

House eredeti hozzászólása

Mivel sok helyen, látszólag következetesen volt így írva, ezért gondoltam, hogy nem elírás.

Persze a lényeg az, hogy most már legalább a cím stimmel.

látom amit írsz, de szerintem elírás. aztán ha mégsem akkor a topicnyitó majd jelzi

2010-02-01, 09:34	#16
TLoF Bölcs Csatlakozott: 2007 Aug Összes hozzászólás: 559 Kiosztott köszönetek: 12 Begyũjtött 204 köszönetet 141 hozzászólással	re: Weboldalkészítés php-opp alapon. 1.rész Akkor gyorsan tegyük hozzá még azt, hogy a publikus rainbow táblák kora óta nem tárolunk jelszót egyszerű md5 hasheléssel, hiszen igy pár másodperc alatt vissza fejthető. A jobb megoldás az, hogy a legalább egy egyedi stringet bele rakunk mondjuk a weblap nevét. Kód: $passwd_hash = md5('weboldalcim' . $_POST['passwd']); Ez sem rossz módszer, de azért még mindig sérülékenyebb az md5 táblákra, hiszen állandó a kódolási algoritmus. A másik módszer, hogy valami változó stringet használunk kódoláshoz. Ha kikötöd, hogy a felhasználó nem cserélhet login name-t. akkor jó megoldás a következő: Kód: $passwd_hash = md5($_POST['user'] . $_POST['passwd']); Ezzel sikerült elérned, hogy minden jelszó egyedi hashelést tartalmaz, vissza fejtése elég macerás. Lehet arra hivatkozni, hogy az sha1 es hosszabb stringeket generál, és az biztonságosabb, viszont a rainbow táblás módszer ellen ez a tényező nem számit. __________________ Tárhely Seo Fórum tagoknak VPS szolgáltatás Amszterdami tárhely, Magyar ügyintézés

2010-02-01, 12:32	#17
House Szerkesztő Blog: Kis pénzb?l nagy h?fok-javulás? H?tés optimalizálás nem csak vízzel h?t?knek Csatlakozott: 2009 May Hely: Tinnye Összes hozzászólás: 209 Kiosztott köszönetek: 63 Begyũjtött 55 köszönetet 40 hozzászólással	re: Weboldalkészítés php-opp alapon. 1.rész Én nem érteni ezen téma, de tudtommal: OOP = Obektum Orientált Programozás OPP= ? Mivel többször is szerepel a topicnyitó h.sz.-eiben, gondolom nem elírás. __________________ Számítógép vízhűtések csend- és teljesítmény-orientált felhasználóknak \| PC vízhűtés újdonságok

Téma eszközök
Nyomtatható verzió megjelenítése Küldje el ezt a lapot e-mailben
Megjelenítési módok
Egyenes mód Átkapcsolás hibrid módra Átkapcsolás rétegezett módra

Hasonló témák
Téma	Téma szerzője	Fórum	Válaszok	Utolsó hozzászólás
Új SBS katalógus SYSHOST alapon	sbs	Katalógusok	14	2010-01-19 17:59
Weboldalkészítés legálisan	Edu	Webfejlesztő sarok	22	2008-10-01 16:41
Hirdetés megjelenés alapon	petrence	Marketing stratégiák	5	2008-06-02 18:27