Autor | Zpráva | ||
---|---|---|---|
Slapy Profil |
#1 · Zasláno: 7. 1. 2013, 16:59:02
Dobrý deň,
mám stránku upload.php a nechcem aby ju mohol využívať každý takže tam nastavým heslo a keď niekto zobrazý stránku upload.php tak to od neho pýta heslo ak zadá správne heslo tak sa mu zobrazý obsah pomocou ktorého môže uploadovať súbory. Avšak asi nie je bezpečné overovať správnsť hesla kódom if($_POST[heslo]==123456) . Dá sa to spraviť bezpečnejšie bez použitia MySQL?
|
||
Radek9 Profil |
Slapy:
Co ti brání tohle použít? Můžeš tam dát hash (třeba SHA1) a heslo ještě před porovnáním prohnat funkcí: if (SHA1($_POST["pass"]) === "7c4a8d09ca3762af61e59520943dc26494f8941b") { … } |
||
blaaablaaa Profil |
#3 · Zasláno: 7. 1. 2013, 17:41:22
Slapy:
Proc by to porovnavani nebylo bezpecne? Jedina nebezpecna cast je pri posilani dat klient->server, takze pouzij alespon SSL. Radek9: a jak to pomuze v bezpecnosti? |
||
jenikkozak Profil |
#4 · Zasláno: 7. 1. 2013, 17:49:30
blaaablaaa:
„a jak to pomuze v bezpecnosti?“ Při zobrazení PHP zdroje se nevyzradí původní heslo. |
||
Alphard Profil |
#5 · Zasláno: 7. 1. 2013, 23:25:32
Já bych ho ukládal do nějakého configu, ono to takhle [#2] začíná, ale pak se zjistí, že je potřeba ještě na druhém místě, tak se zkopíruje (nebo se napíše jiný) a začne v tom být bordel.
Pokud jde o hash, tak ano, zvyšuje bezpečnost, ale zmenšuje přehlednost. Třeba heslo do databáze hashovat nelze a průnik do filesystému je sám o sobě dost problém... Takže doporučuji zabezpečit hlavně config s veškerými hesly, ideálně pomocí .htaccess zakázat přístup z venčí. U uploaderu zajistit, aby nešlo nahrát vykonatelný script, je-li to možné, vypnout v adresáři, kam se uploaduje, zpracování php souborů. |
||
Slapy Profil |
#6 · Zasláno: 7. 1. 2013, 23:57:24
Všetkým vám ďakujem za rady.
|
||
Časová prodleva: 11 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0