Show 150 posts per page
|
Show 150 posts per page |
.dsy:it. (http://www.dsy.it/forum/)
- Tech (http://www.dsy.it/forum/forumdisplay.php?forumid=189)
-- [PHP] Autenticazione (http://www.dsy.it/forum/showthread.php?threadid=9865)
[PHP] Autenticazione
Sto sviluppando un piccolo blog in PHP + Mysql, e ho il problema di come
autenticare in modo "abbastanza" sicuro (non e' che mi serva una protezione
eccessiva) il proprietario del blog.
La mia idea era questa:
Nel dbase ci sarebbe questa tabella:
Tabella user
campo1: username
campo2: password
Tramite un form e una query su questa tabella avrei l'accesso o meno.
E' valida come idea o c'e' qualcosa di piu' sicuro (ma altrettanto
semplice)???
__________________
Napolux.com
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml ....
Originally posted by dan
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml ....
__________________
Napolux.com
Volendo puoi crittare la password nel database tramite md5, crc, sha1 o attraverso la funzione password() di MySql (se usi MySql 
)
http://www.php.net/manual/en/function.md5.php
http://www.php.net/manual/en/function.crc32.php
http://www.php.net/manual/en/function.sha1.php
http://www.mysql.com/doc/en/Password_hashing.html
__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio??
__________________
La mia epoca ed io non siamo fatti l'uno per l'altro:questo è chiaro. Ma è da vedere chi di noi due vincerà il processo di fronte al tribunale dei posteri.
AV MJØDEN VART DU VIS OG KLOK, SÅ DREKKA MER!!!!
Le persone sagge parlano perché hanno qualcosa da dire.
Le persone sciocche perché hanno da dire qualcosa.
Un sistema efficiente è generare un hash md5 da registrare sul database. Il motivo è presto spiegato: il lato server non sa la password (che magari tu usi anche per autenticarti altrove) e quindi garantisce di piu' l'utente.
La protezione comunque non è totale. Il problema è che quando invii la password (per registrarti la prima volta e per autenticarti poi) l'hash è generato lato server, e quindi dal client al server la password circola in rete in chiaro.
La sicurezza migliore dunque è quella di generare l'hash direttamente lato client, con un javascript.
Carmelo (il progetto mio e di Viry) usava l'hash lato server.
Carmine (il progetto di Fatur, Teovt e Juventina) usava l'hash lato client. Cio' non toglie che Carmelo era in genere piu' figo. 
__________________
Attenzio', concentrazio', ritmo e VITALITÀ
Grazie a tutti, vado a spulciare la documentazione...
__________________
Napolux.com
Originally posted by holylaw
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio??
__________________
~ get Debian! ~ get FreeBSD! ~ get OpenBSD! ~
| All times are GMT. The time now is 23:55. | Show all 8 posts from this thread on one page |
Powered by: vBulletin Version 2.3.1
Copyright © Jelsoft Enterprises Limited 2000 - 2002.