Autenticazione e protezione del db

[spiderman23]

Ciao a tutti...scrivo per avere un consiglio da chi sicuramente ha mooooolta ma mooooolta piu esperienza di me in questo campo...

un amico mi ha chiesto di realizzare un applicativo web protetto nell'accesso da user e password che memorizzi e gestisca dei dati "sensibili" su un db mysql...

vorrei sapere se qualcuno di voi sa indicarmi il modo o un tutorial per ottenere un buon livello di protezione sia per quanto riguarda l'accesso sia per quanto riguarda i dati che non devono essere in nessun modo "presi" da qualcuno...

Grazie mille a chi mi risponderà!

[oronze]

http://www.google.it/search?q=php+e+...ient=firefox-a
tutto ciò che riguarda le sql injection e come proteggersi
le sessioni

[spiderman23]

ho visto la guida che è stata postata su...
ho capito che x quello che voglio fare(avendo a disposizione il server) dovrei configurare alcuni settaggi del php.ini...
fatto questo però vorrei anche "criptare" la password memorizzandone l'hash...

ho visto che per trovarlo basta fare md5($stringa)....ma per fare l'operazione inversa...? cioè quando devo autenticare un utente quindi controllare che la stringa inserita corrisponda alla password faccio l'md5($password_inserita)==$riga_tabella(PASSWORD) ????

è questo il modo corretto?
:master:

scusate...sono un po confuso su quest'argomento...avrei bisogno di qualche suggerimento da persone che già hanno avuto a che fare con questo tipo di "problematica"

grazie a tutti cmq

[axl01]

esatto....è il modo corretto....
a partire dall'hash è impossibile tornare al valore di partenza che l'ha generato....se così non fosse, non avrebbe senso usare md5() per criptare le password....

quando ricevi la password, ne calcoli l'hash e lo confronti con il valore memorizzato....

ps: non è del tutto vero che dall'hash non si possa tornare al valore originale....è solo che è molto molto difficile.....ma non impossibile....

pps: aggiungo che alcuni, per rendere più difficile la decrifratura delle password, usano cose tipo sha1(md5(password))......ho visto anche 5 o 6 hash annidati........diciamo che dipende da quanto sei insicuro e da quanta paura hai.... potrebbe essere paura giustificata comunque, a seconda dei casi....

[spiderman23]

Grazie mille...è proprio quello che volevo sapere!

quindi per quanto riguarda la psw ci si può "sbizzarrire" in questo modo...

e invece leggevo che è possibile "recuperare" le sessioni e quindi "aggirare i controlli"....e per evitare queste possibili vulnerabilità bisognerebbe settare alcuni parametri in determinati modi sul php.ini....

qualcuno sa darmi un consiglio su quali sono quelle assulutamente necessarie? quelle cioè che possono generare "maggiore vulnerabilità" e sulle quali quindi si deve prestare piu attenzione?


so che la domanda è un po generica e che quindi potrebbe essere un po difficile rispondere...vorrei solo farmi un idea sugli accorgimenti da non dimenticare per una minima sicurezza in un sito web...