[PHP] Autenticazione
Clicca QUI per vedere il messaggio nel forum |
| Napolux |
Sto sviluppando un piccolo blog in PHP + Mysql, e ho il problema di come
autenticare in modo "abbastanza" sicuro (non e' che mi serva una protezione
eccessiva) il proprietario del blog.
La mia idea era questa:
Nel dbase ci sarebbe questa tabella:
Tabella user
campo1: username
campo2: password
Tramite un form e una query su questa tabella avrei l'accesso o meno.
E' valida come idea o c'e' qualcosa di piu' sicuro (ma altrettanto
semplice)??? |
| dan |
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml .... |
| Napolux |
Originally posted by dan
Puoi mettere un sistema di controllo delle password in modo che non sia uguale allo username, al nome dell'utente, al cognome, ...
Puoi usare una trasmissione dei dati via shtml ....
Mmhh....
Intendi https??? :? |
| holylaw |
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio?? |
| AlphaGamma |
Un sistema efficiente è generare un hash md5 da registrare sul database. Il motivo è presto spiegato: il lato server non sa la password (che magari tu usi anche per autenticarti altrove) e quindi garantisce di piu' l'utente.
La protezione comunque non è totale. Il problema è che quando invii la password (per registrarti la prima volta e per autenticarti poi) l'hash è generato lato server, e quindi dal client al server la password circola in rete in chiaro.
La sicurezza migliore dunque è quella di generare l'hash direttamente lato client, con un javascript.
Carmelo (il progetto mio e di Viry) usava l'hash lato server.
Carmine (il progetto di Fatur, Teovt e Juventina) usava l'hash lato client. Cio' non toglie che Carmelo era in genere piu' figo. :D |
| Napolux |
| Grazie a tutti, vado a spulciare la documentazione... :D |
| DeepBlue |
Originally posted by holylaw
forse e' una domanda un po' stupida, ma che vantaggio porta criptare la password??
voglio dire....... tu hai la pagina con i form userid e password.... prendi la password, la cripti e controlli nel db se e' la stessa stringa...
cosa cambia nel controllare direttamente la password??
l'unico vantaggio che mi viene in mente e' per i metodi GET..... o sbaglio??
Avevo perso il thread.... Comunque può anche essere una questione di onestà del programmatore: criptando la password non può utilizzare l'account dell'utente e in più si ha la tranquillità che nel caso qualcuno ottenga l'accesso al dump del DB non rubi le password (per farsene cosa non so, sto ipotizzando)
E poi come dici tu, se il programmatore ha deciso di passare dati sensibili via GET (Arrrrrrghhhhh) sarebbe meglio che questi siano criptati :D |
|
|
|
