PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Взаимоисключающие рекомендации по безопасности

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

Арикус	Отправлено: 12 Декабря, 2015 - 04:10:13
Гость Покинул форум Сообщений всего: 123 Дата рег-ции: Июнь 2015 Откуда: Москва, Россия Помог: 0 раз(а)	Нашёл 2 взаимоисключающие рекомендации по безопасности: 1) хеширование пароля PHP: скопировать код в буфер обмена $_SESSION['password'] = md5($_POST['inputPassword']); 2) не запрашивать пароля напрямую PHP: скопировать код в буфер обмена $dbconnected = mysqli_fetch_row (mysqli_query($linki, "SELECT COUNT(*) FROM `users` WHERE `Login` = '{$_SESSION['login']}' AND `Password` = '{$_SESSION['password']}'")); Какую из них лучше применить?

Мелкий	Отправлено: 12 Декабря, 2015 - 10:34:29
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Арикус пишет: хеширование пароля Арикус пишет: не запрашивать пароля напрямую Ничего взаимоисключающего. Только не md5, а что-нибудь адекватное. Есть пара специальных функций: http://php.net/manual/en/book.password.php ----- PostgreSQL DBA

MiksIr	Отправлено: 12 Декабря, 2015 - 11:22:40
Забанен Покинул форум Сообщений всего: 378 Дата рег-ции: Сент. 2014 Помог: 10 раз(а) [+]	Ну если брать приведенный код, то 2) неверно ;) ----- self-banned

DelphinPRO	Отправлено: 12 Декабря, 2015 - 12:41:44
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	Это НЕ взаимоисключающие рекомендации. Смотри, процедура регистрации github•com/•••/Users.php#L126 - пароль обязательно хэшируется. Note. Для хеширования используй специальную функцию (или напиши аналогичную сам, если разбираешься в криптографии). Использовать md5 в современном мире небезопасно. А вот процедура аутентификации github•com/•••/Users.php#L89. Здесь из базы достается пароль по логину и сравнивается с тем, который прислал пользователь из формы с помощью специальной функции password_verify. Получается мы и пароль хэшируем и не запрашиваем его напрямую (пароль в SQL запросе не фигурирует). ----- Чем больше узнаю, тем больше я не знаю.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.