ragazzi, una domanda:
sto usando come DBMS MySQL, adesso ogni volta che mi arrivano i dati di registrazione di un utente devo collegarmi al database con username e password ed eseguire la query.
Il problema che voglio risolvere è:
posso evitare di tenere nel source-code la username e la password in chiaro?
Grazie
No, non credo :master:
Se vuoi puoi impostare password ed username di default per l'interprete php nel file di configurazione di php.
Oppure potresti anche non metterle in chiaro e decodificarle prima del passaggio a mysql_connect con una funzione ma comunque riusciresti ad imbrogliare solo un facocero..
Ma perchè non le vuoi mettere in chiaro? (sembra una domanda idiota ma tu rispondimi cmq)
Lungo le due rive del fiume gelato si stendeva la cupa e tetra foresta di abeti, dai quali il vento aveva appena spazzato il manto di brina. Nella luce crepuscolare quegli abeti neri e sinistri sembravano inclinarsi l'uno verso l'altro. Un silenzio minaccioso incombeva sul paesaggio, privo di qualsiasi segno di vita o di movimento, e desolato e freddo al punto da non poter ispirare che un solo sentimento: quello della più triste malinconia. E nello stesso tempo pareva che da quel paesaggio trapelasse una specie di riso, un riso ben più spaventoso di qualsiasi malinconia o tristezza, un riso tragico, come quello di una sfinge, un riso agghiacciante più della brina e che rammendava l'incombere minaccioso dell'ineluttabile. Era la saggezza potente e impenetrabile dell'eternità che irrideva alla vita, alla sua futilità e agli sforzi degli uomini.
Sto realizzando un'applicazione web e le pagine .php sono presenti su un server....il server è utilizzato da più persone e non voglio che chiunque aprendo un file .php possa conoscere la username e password di accesso a una tabella che voglio resti riservata.
Penso di avere giusti motivi
Ma tutti hanno accesso alla cartella dove metti i file? Se è un server *unix puoi cavartela cambiando i permessi sul file
Lungo le due rive del fiume gelato si stendeva la cupa e tetra foresta di abeti, dai quali il vento aveva appena spazzato il manto di brina. Nella luce crepuscolare quegli abeti neri e sinistri sembravano inclinarsi l'uno verso l'altro. Un silenzio minaccioso incombeva sul paesaggio, privo di qualsiasi segno di vita o di movimento, e desolato e freddo al punto da non poter ispirare che un solo sentimento: quello della più triste malinconia. E nello stesso tempo pareva che da quel paesaggio trapelasse una specie di riso, un riso ben più spaventoso di qualsiasi malinconia o tristezza, un riso tragico, come quello di una sfinge, un riso agghiacciante più della brina e che rammendava l'incombere minaccioso dell'ineluttabile. Era la saggezza potente e impenetrabile dell'eternità che irrideva alla vita, alla sua futilità e agli sforzi degli uomini.
Il problema di fondo è che negli script php è tutto in chiaro (sono il codice sorgente del sito web). Se proprio vuoi evitare che aprendo un qualsiasi script php il codice sia visibile, devi "compilare" (il termine compilare non è proprio esatto...) il codice php, proprio come si fà con altri linguaggi di programmazione non interpretati, tipo il c o java. Se compili il codice php, anche valori sensibili (come logine password del db), non sono direttamente visibili in chiaro.
Se posso darti un consiglio, per compilare uno script php, usa TURKMMCACHE (che è gratuito), oppure il compilatore della ZEND che è a pagamento.
P.S. Per far funzionare i tuoi script con TURKMMCACHE così compilati, sul server deve essere però installato il TURKMMCACHE (e non lo ha quasi nessuno).
Ciao.
Stefano Viscione,
miosito.ilbello.com
www.lucemsoft.it/
Avevo pensato anch'io alla compilazione in bytecode ma le stringhe statiche rimangono in chiaro (anche se perdono un riscontro immediato con la funzione di connessione.
A proposito di questo si potrebbe inserire password e username già criptate nel file da compilare assieme ad un adeguato procedimento per decrittarle. Teoricamente questa potrebbe essere una soluzione più affidabile anche se, potendo, è meglio (e più semplice) impostare adeguatamente i permessi sui nostri file
Lungo le due rive del fiume gelato si stendeva la cupa e tetra foresta di abeti, dai quali il vento aveva appena spazzato il manto di brina. Nella luce crepuscolare quegli abeti neri e sinistri sembravano inclinarsi l'uno verso l'altro. Un silenzio minaccioso incombeva sul paesaggio, privo di qualsiasi segno di vita o di movimento, e desolato e freddo al punto da non poter ispirare che un solo sentimento: quello della più triste malinconia. E nello stesso tempo pareva che da quel paesaggio trapelasse una specie di riso, un riso ben più spaventoso di qualsiasi malinconia o tristezza, un riso tragico, come quello di una sfinge, un riso agghiacciante più della brina e che rammendava l'incombere minaccioso dell'ineluttabile. Era la saggezza potente e impenetrabile dell'eternità che irrideva alla vita, alla sua futilità e agli sforzi degli uomini.
adesso ne sparo una ma non mi aggredite se dico una fesseria ok ?
Teoricamente xchè non codichi la prima volta la tua password con md5 e la stampi a video, la copi e la incolli nel file php dove effettui l'apertura al db.
Quando poi effettui la chiamata di connessione la decripti sempre a livello di php.
Un po come funziona quando hai utenti con area riservata. Cripti la password che inseriscono sul web, confrontandola poi con la password criptata salvata sul db.
Se ho detto una stupidaggine siate gentili.
Nulla è impossibile. Il difficile è trovare la soluzione che renda l'impossibile possibile...
http://www.eternaldream.it
Ne ho dette di tutti colori pure io quindi siamo sulla stessa barcaOriginariamente inviato da alexdem24
adesso ne sparo una ma non mi aggredite se dico una fesseria ok ?
Md5 non è reversibile, cioè una volta che hai una stringa md5 non puoi in alcun modo tornare alla stringa originale.Teoricamente xchè non codichi la prima volta la tua password con md5 e la stampi a video, la copi e la incolli nel file php dove effettui l'apertura al db.
Quando poi effettui la chiamata di connessione la decripti sempre a livello di php.
Il vantaggio di md5 è che per ogni stringa è garantito (dovrebbe esserlo almeno) che esiste una ed una sola stringa md5.
Md5 si usa solitamente nei db come hai detto tu perchè gli operatori che hanno accesso al db non vengano a oonoscenza della password usata dall'utente per gli accessi.
L'idea di criptare non è sbagliata, anzi. Però se cripti e decripti a livello di php "semplice" sei sempre al punto di partenza perchè basta un minimo di dimestichezza per fare un echo di quello che viene passato come argomento alla funzione di connessione mysql
Bisognerebbe decriptare a livello di php compilato in bytecode. Cosi è meno tracciabile il punto in cui si decritta
Lungo le due rive del fiume gelato si stendeva la cupa e tetra foresta di abeti, dai quali il vento aveva appena spazzato il manto di brina. Nella luce crepuscolare quegli abeti neri e sinistri sembravano inclinarsi l'uno verso l'altro. Un silenzio minaccioso incombeva sul paesaggio, privo di qualsiasi segno di vita o di movimento, e desolato e freddo al punto da non poter ispirare che un solo sentimento: quello della più triste malinconia. E nello stesso tempo pareva che da quel paesaggio trapelasse una specie di riso, un riso ben più spaventoso di qualsiasi malinconia o tristezza, un riso tragico, come quello di una sfinge, un riso agghiacciante più della brina e che rammendava l'incombere minaccioso dell'ineluttabile. Era la saggezza potente e impenetrabile dell'eternità che irrideva alla vita, alla sua futilità e agli sforzi degli uomini.
Ragazzi nn capisco quando parlate di crittografia:
se uso un algoritmo di crittografia a chiave pubblica devo cmq usare la chiave privata per decrittografare la password.... e dove la memorizzo la chiave privata?
se uso un algoritmo di crittografia simmetrica il problema è lo stesso, devo usare la chiave privata e dove la memorizzo?
con l' MD5, sempre se ti và di usarlo, non c'è bisogno di chiavi.
Stefano Viscione,
miosito.ilbello.com
www.lucemsoft.it/
Permessi di invio
Rispondi quotando