Sicurezza sistema login senza db

[pippuccio76]

Salve ho una domanda da fare , volevo capire che rischi ci sono a impostare username e password arbitrarie e modificabili solo tramite codice , faccio un esempio per spiegarmi meglio

ho un semplice form

codice:

<form class="" action="dologin.php" method="post">
      


      <input type="text" name="username" value="">
      <input type="password" name="pw" value="">
      <input type="submit" name="invia" value="Invia i dati">
</form>

e dologin.php

che fà :

codice:

if (isset($_POST['invia'])) {
  if ($_POST['username']==pappa AND $_POST['pw']==ciccia) {
     $_SESSION['adm']=1;
  }
  
}

e poi utilizzo questa variabile di sessione per eseguire una serie di operazioni quali rischi posso correre?

[.Kurt]

Da come confronti gli input con le password, Timing attack è una possibilità. Un altro motivo per non inserire password direttamente nel codice sorgente è che se il web server per xyz motivi dovesse fallire di processare la pagina per colpa dell'interprete di php, della configurazione, di un bug nel tuo codice, di un meteorite, (...), e la pagina venisse restituita all'utente sotto forma di testo, allora le credenziali saranno esposte.
Ovviamente devi essere più specifico quando parli di "sicurezza" o di "rischi", perché quello dopo di me ti chiederà "usi https per inviare la password?", e quello dopo ancora ti chiederà "come hai configurato il web server?", e quello dopo ancora chiederà "la password è abbastanza lunga? che caratteri contiene?", e così via.