sicurezza login

**Teoh** · 23-05-2008, 23:58

Ciao a tutti,
dovrei fare un form di login molto semplice con login e password cablate nel codice. Mi chiedevo se nel codice che ho scritto devo tenere conto di qualcosa sotto il profilo della sicurezza visto che tratto, seppur in maniera semplice, dati inseriti dall'utente:

Codice PHP:


<?php

$username = $_POST["username"];

$passw = $_POST["passw"];



if (!ctype_alnum($username) || !ctype_alnum($passw)) {

    header('Location: loginfailed.php');

}



if ($username == "abc" && $passw == "def") {

    session_start();

    $_SESSION['userverified'] = $username;

    header('Location: main.php');

} else {

    header('Location: loginfailed.php');

}

?>

Poi all'inizio di ogni pagina verifico che sia impostata la variabile di sessione userverified e in caso negativo rimando alla pagina di login, in caso affermativo proseguo con la pagina.

C'è qualche accorgimento che devo prendere sotto il profilo della sicurezza? SQL injection no perché non ci sono database, a me non viene in mente altro.

Grazie.

**alcio74** · 24-05-2008, 22:12

Guida sicurezza di PHP.
Leggi questa guida, è molto esauriente, relativamente semplice ed interessante.

Sono spiegati in maniera piuttosto esaustiva i più comuni attacchi hacker, e le relative falle di sicurezza del codice per le quali si propagano questi attacchi.

Leggitela bene e troverai molte risposte ai tuoi quesiti.

**dararag** · 25-05-2008, 10:00

scusa, ma vorrei correggere per quella che sarà la centomillesima volta questo errore, gli attacchi sono dei cracker non degli hacker, leggi: Differenza Hacker-Cracker

**alcio74** · 25-05-2008, 22:59

Scusa eh....

ma a uno che avverte un leggero dolorino all'addome ti metti a fare un corso di anatomia e gli spieghi le differenze tra milza, fegato, cistifellea e quant'altro oppure gli chiedi prima di tutto se ha mangiato come un porco???

Certo, la tua precisazione è giusta, ma mi sembra Teoh chiedesse qualche pratico consiglio!

**dararag** · 26-05-2008, 20:43

no, scusa, ma la precisazione era per te, al massimo gli hacker te la fanno notare una falla per fartela correggere, non la sfruttano per scopi illeciti... almeno per definizione non dovrebbero.

**alcio74** · 27-05-2008, 00:23

L'avevo capito che la precisazione fosse per me.

Nel mio post avevo parlato di hacker in senso generale, non credo che a Teoh interessi sapere se un hacker può trovare falle nel suo sito, o se un cracker possa o meno rubare le credenziali d'accesso dei suoi utenti!

La sua domanda era:

Mi chiedevo se nel codice che ho scritto devo tenere conto di qualcosa sotto il profilo della sicurezza visto che tratto, seppur in maniera semplice, dati inseriti dall'utente:

ed io gli ho dato un link che gli permette di farsi un'idea di come filtrare gli input e perché.

Tutto il resto è fuffa... un po' come mettersi a trovare differenze tra una prostituta d'altro bordo ed una pornostar!

**d@niele** · 27-05-2008, 19:23

Originariamente inviato da dararag
no, scusa, ma la precisazione era per te, al massimo gli hacker te la fanno notare una falla per fartela correggere, non la sfruttano per scopi illeciti... almeno per definizione non dovrebbero.

hiiiiii, ora ho le idee chiare

Discussione: sicurezza login

Strumenti discussione

Ricerca discussione

Visualizza

sicurezza login

Permessi di invio