Sicurezza php

[Ganjapta]

Salve , sono un giovane ragazzo che sta facendo un lavoretto in php/ajax , un semplice form di registrazione/login.

Avendo imparato tutto autodidatticamente php ma tutto quello che riguarda la programmazione lato web in generale sono un po dubbioso sulla sicurezza del mio sito.

Mi spiego meglio, per esempio per la registrazione io mando i dati con jquery(più precisamente la funzione post) ad una pagina in php , a sua volta la pagina inserisce i dati in un database mysql , ma in termini di sicurezza è giusto gestire un login così? o rischio qualcosa?

a volte il mio dubbio più grande è la paura che i miei lavori siano facilmente aggirabili, vi posto un pezzo di codice:

codice:

$.post("registration.php" ,{ mail: $('#emalR').val(),pswd: $('#pswR').val() },
function(data) {

if (data == "true"){
	//registrazione avvenuta correttamente
	}else{
       //c'è stato un errore nella registrazione
	}


}
);

chiaramente la pagina in php prende i dati post e li inserisce nel database.

Vi ringrazio per l'attenzione.

[Emulman]

insomma...il codice javascript lo vedono tutti subito perchè essendo lato client è facilmente visibile nel listato; con PHP le cose sono più difficili perchè lo script che usi è sul server, quindi non visibile e a meno che un hacker non buchi il tuo sito...

[Ganjapta]

e non esiste un modo per tutelarsi? io vedo che alcuni siti che gestiscono form di inserimento, anche al difuori della registrazione con metodi simili per evitare l'aggiornamento della pagina, quindi usando ajax, in definitiva è sempre sconsigliabile usare metodi di questo tipo? oppure fanno in altri modi?

un altro esempio che calza , in un sito è possibile gestire inserzioni e profili una volta loggati, abusando del javascript/jquery e queste funzioni si rischia di creare falle nella sicurezza?

[Emulman]

Originariamente inviato da Ganjapta
e non esiste un modo per tutelarsi? io vedo che alcuni siti che gestiscono form di inserimento, anche al difuori della registrazione con metodi simili per evitare l'aggiornamento della pagina, quindi usando ajax, in definitiva è sempre sconsigliabile usare metodi di questo tipo? oppure fanno in altri modi?

sicuramente ripeto è più sicuro fare un l ogin in PHP con convalida dati in jquery (usando il jquery validator), di inviare il form al server e criptare la password con MD5 o SHA1 per rendere agli hacker la vita difficile.

un altro esempio che calza , in un sito è possibile gestire inserzioni e profili una volta loggati, abusando del javascript/jquery e queste funzioni si rischia di creare falle nella sicurezza?

vale la stessa risposta di prima..convalida in jquery e subito invio al server..purtroppo non è mai esistito e forse non esisterà mai lo script sicuro al 100% !!!!!

[Ganjapta]

grazie , ho afferrato il concetto , tra l'altro sono andato a cercare jquery validator , mi sembra una figata grazie di tutto!

[Santino83_02]

Validazione lato client e lato server dei dati, mai passare in chiaro dati sensibili (http) e mai fidarsi di quello che arriva da fuori il tuo server

[boots]

Concordo con Santino....la validazione lato server ci vuole sempre.
Non affidarti al solo jQuery, perchè se viene disabilitato JS dal browser (o il browser non viene proprio usato ) puoi scordarti la validazione.

Inoltre prima di effettuare una qualsiasi query sul db, assicurati che su i dati ricevuti sia effettuato l'escape (soprattutto sui dati in GET)

[Ganjapta]

Originariamente inviato da Santino83_02
Validazione lato client e lato server dei dati, mai passare in chiaro dati sensibili (http) e mai fidarsi di quello che arriva da fuori il tuo server

In che senso validazione lato client? cioè passando le post tramite il classico form?

Originariamente inviato da boots
Concordo con Santino....la validazione lato server ci vuole sempre.
Non affidarti al solo jQuery, perchè se viene disabilitato JS dal browser (o il browser non viene proprio usato ) puoi scordarti la validazione.

Inoltre prima di effettuare una qualsiasi query sul db, assicurati che su i dati ricevuti sia effettuato l'escape (soprattutto sui dati in GET)

ah qui chiedo scusa, essendo autodidatta credo di essere discretamente bravo , ma purtroppo sui termini tecnici sono abbastanza neofita , in che senzò effettuando l'escape?

cmq a livello di get per i miei progetti non lo uso quasi mai , oppure quelle poche volte lo copro con l'htaccess

chiedo sempre scusa essendo neofita dei termini tecnici potrei sparare cavolete!
grazie!

[Santino83_02]

prima di fare il sub,it del form (via tasto submit o via jquery ajax) valida i dati che vuoi inviare....poi li validi anche sul server, ovvio.

cmq per il programmino mandare la password in chiaro via http è tollerato, tanto non è che stai facendo facebook... ma visto che tendenzialmente il pacchetto è sniffabile, dovresti usare https per cifrare la comunicazione.

cmq, vabbeh, stai attento

[Ganjapta]

capito perfettamente valido prima con ajax poi con php sul post , ora ho un altro dubbio.

Supponiamo che io uso sempre ajax per chiamare una pagina in php per verificare se nel mio db ho gia una mail o un doppio utente(in seguito se non è doppio lo script procede con la registrazione), un malintenzionato può tramite qualche software cambiarmi le variabili in javascript e mettere dentro delle righe che mi droppano il database?

piccola cursiosita cerco di essere meno paranoico possibile