Registrazione e login sicuri !

[Madsex]

Ciao raga, è da tempo che volevo chiedervelo ma non ho mai avuto tempo .

Ho sempre avuto dei dubbi sul mio metodo nel creare registrazioni e login in php . In sostanza lo reputo troppo semplice e quindi forse anche un po' vulnerabile. Sapreste darmi qualche dritta per creare una registrazione ( ovviamente non il salvataggio dei dati ) e un login sicuri? Tipo come codificare la password e rendere i dati inaccessibili ? Insomma, qualche cosa che mi faccia stare tranquillo che se vogliono fregare qualche cosa devono sudarsela ecco !

So he è tutto molto aleatorio ma spero possiate darmi una mano.

Grazie

[Alhazred]

Il fatto di avere le password criptate sul db serve solo ad evitare che qualcuno venga a conoscenza dei dati di login degli utenti accedendo direttamente al db, quindi non influenza il processo di login in se.

Se per il login usi http, potresti migliorare la situazione usando invece https, così la trasmissione dei dati avviene criptata.

[Madsex]

E come si possono criptare le password?

Vorrei anche capire se il mio modo di scrivere il login è migliorabile. Io in pratica, dando per scontato che i dati dell'utente siano salvati nel database, raccolgo user e password inserite, le confronto semplicemente con quello che è salvato nel database e se corrispondono faccio andare avanti altrimenti stop . Non so perchè ma ho sempre pensato di essere carente su questa cosa, come se non svolgessi tutte le operazioni che si dovrebbero fare per verificare bene il login.

Magari è una mia pippa mentale, nel caso aiutatemi a distruggerla !

Grazie

[Alhazred]

Originariamente inviato da Madsex
E come si possono criptare le password?

Le password si criptano con uno qualunque degli hash messi a disposizione da PHP (md5, sha-1,...) o te ne puoi fare uno tu se vuoi, ma il punto è lo scopo per cui lo si usa.
Come ti ho detto, le password criptate nel db ci si mettono solo per evitare che in caso di accesso diretto al DB, quindi uno che riesce a collegarsi al db, non a fare il login sul tuo sito, le possa leggere.

Vorrei anche capire se il mio modo di scrivere il login è migliorabile. Io in pratica, dando per scontato che i dati dell'utente siano salvati nel database, raccolgo user e password inserite, le confronto semplicemente con quello che è salvato nel database e se corrispondono faccio andare avanti altrimenti stop . Non so perchè ma ho sempre pensato di essere carente su questa cosa, come se non svolgessi tutte le operazioni che si dovrebbero fare per verificare bene il login.

Magari è una mia pippa mentale, nel caso aiutatemi a distruggerla !

Grazie

Controlli se ciò che ti arriva è pulito o se contiene codice malevolo che possa generare sql injection?
Se non lo fai, da un'occhiata alla funzione mysql_real_escape_string(), già questa dovrebbe metterti al riparo da questo problema.
Non facendo questo controllo allora si che sei ad alto rischio.