Visibilità codice php

[ilguardiano]

Ciao a tutti ...

Avevo un quesito da porre.... per problemi di sicurezza.
Il codice php che io scrivo è visibile in qualche modo?.. cioè mi spiego meglio... ho una procedura esterna che mi autentica, ma poi devo chiamare altre procedure esterne usando una autenticazione generica. Quindi nel mio codice scrivo un utente e password che poi passo come parametro alla procedura esterna ed ho paura che non sia il max a livello di sicurezza.. volevo sapere se qualcuno sa darmi qualche dritta...

Mi spiego meglio visto che mi sono spiegato da cani:

dalla pagina di login mi faccio dare <utente> e <password>

alla submit faccio una fopen su
http://localhost/cgi-bin/fccgi.exe?w...entica&w3user=<utente>&w3userpass=<password> e catturo il risultato...
se il risultato è 1 (ovvero mi sono autenticato)
allora chiamo
http://localhost/cgi-bin/fccgi.exe?w...PASSWDGENERICA

e catturo il risultato e lo printo a video.

In pratica la http://localhost/cgi-bin/fccgi.exe? è un processo che risponde alle mie domande....

Help???

[Braco]

Originariamente inviato da ilguardiano
Ciao a tutti ...

Avevo un quesito da porre.... per problemi di sicurezza.
Il codice php che io scrivo è visibile in qualche modo?.. cioè mi spiego meglio... ho una procedura esterna che mi autentica, ma poi devo chiamare altre procedure esterne usando una autenticazione generica. Quindi nel mio codice scrivo un utente e password che poi passo come parametro alla procedura esterna ed ho paura che non sia il max a livello di sicurezza.. volevo sapere se qualcuno sa darmi qualche dritta...

Mi spiego meglio visto che mi sono spiegato da cani:

dalla pagina di login mi faccio dare <utente> e <password>

alla submit faccio una fopen su
http://localhost/cgi-bin/fccgi.exe?w...entica&w3user=<utente>&w3userpass=<password> e catturo il risultato...
se il risultato è 1 (ovvero mi sono autenticato)
allora chiamo
http://localhost/cgi-bin/fccgi.exe?w...PASSWDGENERICA

e catturo il risultato e lo printo a video.

In pratica la http://localhost/cgi-bin/fccgi.exe? è un processo che risponde alle mie domande....

Help???

Il codice php non è visibile perchè è lato server, fai una prova se hai IE, vai sulla barra sopra la pagina "Visualizza" e HTML, ti apparirà visibile solo il codice html

[steveml]

il codice php non è visibile ma se qualcuno cattura il tuo header

http://localhost/cgi-bin/fccgi.exe?...=PASSWDGENERICA

potrebbe leggere user e password.

[ilguardiano]

il codice php non è visibile ma se qualcuno cattura il tuo header

http://localhost/cgi-bin/fccgi.exe?...=PASSWDGENERICA

potrebbe leggere user e password.

Pero' io non lo passo come header... nelle pagina php faccio una fopen a http://localhost/cgi-bin/fccgi.exe?...=PASSWDGENERICA e catturo l'output di questa fopen....

Non so se sia una grande idea.. e soprattutto se sia relativamente sicura.