Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 6 su 6
  1. 18-12-2013, 11:24 #1
    iacoposk8
    iacoposk8 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    1,683

    Sicurezza login senza db

    ciao a tutti! mi sono creato un piccolo pannellino in backend per la gestione di un file json che serve ad una libreria php.
    ora come ora se qualcuno accede a questa pagina (anche se non linkata nel frontend) potrebbe editare questo file json creando problemi grossi al funzionamento del sito.
    La domanda è questa: siccome il progetto non usa database, per fare un login "classico" dovrei crearne uno, con una tabella users per un solo record con le credenziali dell'amministratore.
    Se io mettessi in un file php, dentro due variabili lo user e la password criptata, ci potrebbero essere problemi per la sicurezza? se si, quali?
    grazie
    Ultima modifica di iacoposk8; 18-12-2013 a 11:28
    Iacopo Guarneri
    Rap Database
    Rispondi quotando Rispondi quotando
  2. 18-12-2013, 11:41 #2
    Alhazred
    Alhazred non è in linea
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,448
    Sai fare un login usando un database?
    Se sì, puoi fare la stessa cosa senza, solo che username e password li salvi in un file che leggerai invece di leggere il db.
    Oppure visto che avrai un solo utente, username e password li scrivi direttamente dentro lo script che riceve i dati del form di login.

    Quindi:
    - pagina d'accesso al backend contenente un form che chiede username e password
    - il form invia i dati ad uno script che ne verifica la correttezza
    - se sono corretti crea una qualche variabile di sessione e reindirizza al backend
    - in ogni pagina del backend, prima di visualizzare i contenuti verifichi se la variabile di sessione sia esistente e corretta
    Rispondi quotando Rispondi quotando
  3. 18-12-2013, 12:46 #3
    iacoposk8
    iacoposk8 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    1,683
    si si, saprei farlo in entrambi i modi, ma non avendolo mai fatto senza database non sono sicuro che possa essere sicuro, anche se non credo ci siano problemi... ma per sicurezza vorrei anche una vostra conferma.
    Iacopo Guarneri
    Rap Database
    Rispondi quotando Rispondi quotando
  4. 18-12-2013, 12:51 #4
    Alhazred
    Alhazred non è in linea
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,448
    E' sicuro fin quando qualcuno riesce ad accedere al file dove username e password sono scritti.
    Così come sei al sicuro fin quando qualcuno riesce ad accedere ai dati del db.
    Rispondi quotando Rispondi quotando
  5. 18-12-2013, 14:52 #5
    fermat
    fermat non è in linea
    Utente di HTML.it
    Registrato dal
    Mar 2009
    Messaggi
    6,975
    bhe forse converrebbe scrivere dentro al file (o allo script) la password criptata dierettamente.
    così che cmq risulta più difficile da leggere.

    poi al file passi una cosa del tipo:
    Codice PHP:
    sha1($_POST['password']); 
    ma dentro alla script hai l'hash della password.
    Blog
    Rispondi quotando Rispondi quotando
  6. 18-12-2013, 18:08 #6
    iacoposk8
    iacoposk8 non è in linea
    Utente di HTML.it
    Registrato dal
    May 2008
    Messaggi
    1,683
    ...ha senso! grazie mille ancora
    Iacopo Guarneri
    Rap Database
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.