Autor Zpráva
Slapy
Profil
Dobrý deň,
mám stránku upload.php a nechcem aby ju mohol využívať každý takže tam nastavým heslo a keď niekto zobrazý stránku upload.php tak to od neho pýta heslo ak zadá správne heslo tak sa mu zobrazý obsah pomocou ktorého môže uploadovať súbory. Avšak asi nie je bezpečné overovať správnsť hesla kódom if($_POST[heslo]==123456). Dá sa to spraviť bezpečnejšie bez použitia MySQL?
Radek9
Profil
Slapy:
Co ti brání tohle použít? Můžeš tam dát hash (třeba SHA1) a heslo ještě před porovnáním prohnat funkcí:
if (SHA1($_POST["pass"]) === "7c4a8d09ca3762af61e59520943dc26494f8941b") {
  …
}
blaaablaaa
Profil
Slapy:
Proc by to porovnavani nebylo bezpecne? Jedina nebezpecna cast je pri posilani dat klient->server, takze pouzij alespon SSL.

Radek9: a jak to pomuze v bezpecnosti?
jenikkozak
Profil
blaaablaaa:
a jak to pomuze v bezpecnosti?
Při zobrazení PHP zdroje se nevyzradí původní heslo.
Alphard
Profil
Já bych ho ukládal do nějakého configu, ono to takhle [#2] začíná, ale pak se zjistí, že je potřeba ještě na druhém místě, tak se zkopíruje (nebo se napíše jiný) a začne v tom být bordel.
Pokud jde o hash, tak ano, zvyšuje bezpečnost, ale zmenšuje přehlednost. Třeba heslo do databáze hashovat nelze a průnik do filesystému je sám o sobě dost problém...

Takže doporučuji zabezpečit hlavně config s veškerými hesly, ideálně pomocí .htaccess zakázat přístup z venčí. U uploaderu zajistit, aby nešlo nahrát vykonatelný script, je-li to možné, vypnout v adresáři, kam se uploaduje, zpracování php souborů.
Slapy
Profil
Všetkým vám ďakujem za rady.
Toto téma je uzamčeno. Odpověď nelze zaslat.