Domanda sicurezza

**keratox** · 18-01-2005, 19:53

Se per dire io ho una mia pagina amminstrazione_sito.php
E all'interno ci metto un form tipo

codice:

<form action="amminstrazione_sito.php" method="post">
Password <input type="password" name="mypass" />

<input type="submit" name="getadmin" />
</form>

posso fare qualcosa del genere

codice:

<?php
if(isset($_POST['getadmin'])){
if($_POST['mypass']=="AnfDks34"){
session_register("admin");
}
}
?>

senza avere problemi di sicurezza ????
Cioe', come potrebbe fare, qualcuno, a prendere la password AnfDks34 ???

Ciao, grazie

**bonaprogram** · 18-01-2005, 19:56

nessuno puo prendere la tua password se sta solo in un file php

**keratox** · 18-01-2005, 20:01

e' quello che pensavo...
solo che...
mah...

vabbe' grazie
ciao

**mdsjack** · 18-01-2005, 20:03

il problema è che possono intercettarla mentre va dal form allo script

ma è un'ipotesi remota per una password amatoriale.

**keratox** · 18-01-2005, 20:44

di fatto avevo intenzione di fare qualcosa di serio
come si puo' aggirare anche questa ipotesi ?

**drAlberT** · 19-01-2005, 15:14

Originariamente inviato da bonaprogram
nessuno puo prendere la tua password se sta solo in un file php

la troppa sicurezza è nemica della sicurezza stessa :-)

SE e dico SE un qualsiasi script PHP nell'intera macchina (e non sito web, bada bene ma macchina - come su aruba insomma) fosse bucabile in qualche modo permettendo
- XSS (cross site scripting)
- RCX (remote command execution)
- SQLinjection (si, in linea teorica anche questo)
- etc ..

allora, poiché i files .php sono per forza di cose almeno leggibili da apache, diventa ovvio che l'utente apache (e quindi l'attacker) avrebbero facile accesso alla tua passwd !!!

**keratox** · 19-01-2005, 21:43

Grazie per le risposte.
In definitiva...come gestisco la password di amministrazione in modo sicuro ???
In un database mysql crittografata con md5() (e' cosi'??) potrebbe andare ???

**bubu77** · 19-01-2005, 21:49

anche se la metti in un file mettila dopo averla passata ad md5 quindi una cosa tipo

$password = "hjlshfkjyluhslhgckjsksghkjlhckjhsk";

e per confrontare fai
if(md5($_POST['mypass'])==$password){

almeno anche se uno ha accesso al file (temporaneamente spero) non ti fotte la password in chiaro

**keratox** · 19-01-2005, 22:04

ok thanks

**bubu77** · 20-01-2005, 03:08

poi sarebbe buona norma piazzare i file contenenti password fuori dalla web_root oppure al limite proteggerli con htaccess

questo perchè può capitare che il demone php vada a puttana e finche non viene risolto il problema i file php sono scaricabili

VVoVe:

questo mi è successo su un vecchio server circa 3 anni fa

, a tal proposito mi interesserebbe sapere se esiste un modo per configurare apache in modo da vietare l'accesso ai file php se il demone và a puttana

Discussione: Domanda sicurezza

Strumenti discussione

Ricerca discussione

Visualizza

Domanda sicurezza

Permessi di invio