rendere sicuro un login

[JANUS70]

Ciao ..
premetto che mi sono avvicinato al php per scherzo, e che da autodidatta improvvisato mi son fatto una piccola applicazione per uso personale ..
Ora, avrei l'esigenza di mettere in rete la stessa applicazione (che si appoggia a Mysql), per porterla gestire da qualsiasi terminale, e sopratutto con il tablet che mi porto in giro.
I miei dubbi sono legati alla sicurezza, visto la sensibilità dei dati caricati in DB.
Ho dato un'occhiata veloce all'argomento trattato in rete, rendendomi conto che l'argomento è abbastanza ampio e complesso (XSS, SQL Injection, Configurazione del PHP ..), sopratutto per uno che non ha esigenze di sviluppi futuri.
Mi domandavo, visto che il mio problema non è tanto quello di proteggere la gestione dell' applicazione dal suo interno (una volta entrati chiunque può fare tutto quello che faccio io, con libero accesso al DB), quanto invece blindare l'accesso in modo assoluto alla stessa applicazione.
Quindi, domanda .. :-)
C'è un modo semplice e sicuro per far si che non si riesca a superare il login.
Grazie mille.

[chpweb]

la guida sulla sicurezza PHP di html.it spiega molto bene

cmq i punti chiave sono :

1 controllare lato server tutto ciò che arriva dall'utente
tramite i controlli sulle stringhe per evitare SQL Injection ecc

2 controllare magari da dove arrivano i dati ( da che pagina arrivano )

3 una volta validato e posto le restrizioni il più rigide possibili controllando anche il numero max di caratteri, la presenza di caratteri speciali ecc

allora e solo allora si crea una variabile in sessione che dice se sei autorizzato o no ..


cmq è tutto spiegato sulla guida e seguendola si arriva ad ottenere un ottima pagina di login
( la mia attualmente ha subito tantissimi attacchi e mai nessuna intrusione o danno e io sono partito da 0 con quella guida )

[JANUS70]

ok .. provo ad approfondire !

ma un dubbio ..
una volta reso sicuro il login .. per tutte le altre pagine è sufficiente mettere in testa un controllo tramite sessione che il login sia stato effettuato ?
(una sessione non è in nessun modo raggiungibile/aggirabile .. o non so chè ?)

Grazie

ahh .. in base a cosa dici di aver subito vari tentativi di attacco ?

[Nika90]

col protocollo HTTP username, password, ID di sessione e tutto il resto viaggiano in chiaro.. quindi anche se improbabile, tecnicamente è possibile risalire a tutte queste informazioni.

[JANUS70]

Originariamente inviato da Nika90
col protocollo HTTP username, password, ID di sessione e tutto il resto viaggiano in chiaro.. quindi anche se improbabile, tecnicamente è possibile risalire a tutte queste informazioni.

quindi ? :-)

[Elmapomap]

Le sessioni sono salvate sul server, ed è impossibile (o comunque poco possibile perchè non convenievole) che un attaccker le legga.
Utlizzando le sessioni rendi le pagine visualizzabili solo alle persone che hanno effettuato il login, ma non ti proteggi da attacchi CSRF.
In più leggi la guida linkata (anche per le CSRF), è una delle migliori in giro, c'è praticamente ogni sicurezza possibile.

[JANUS70]

Ok .. grazie mille