Forme i PHP

[Tomz]

Želim napraviti registraciju ne admin korisnika s MySql-om.

Root usera sam promjenio u Administrator i stavio mu pasword: 3264128 (on je glavni korisnik)
---------------------------------------------

Imam dva php-a

U prvom se unose podaci: korisničko ime, password

A u drugom php-u se ti svi podaci obrade i napravi se novi MySql user koji samo može čitati podatke iz baze.

Problem je u tome što u drugom fajlu glavni user name i password su citljivi.

Kako taj propust popraviti?

[Sulien]

Pa passworde uvijek čuvaj hashirane u bazi, bilo za admina bilo za korisnike

Znači pospremi hash (SHA, MD5) od passworda u bazu, login provjeravaj tako da hashiraš ono što je čovjek unio i usporediš to sa hashom iz baze

Na taj način niti jedan password nije 'čitljiv', čak i ako se netko dočepa podataka iz baze

Naravno netko može probati bruteforce-ati ili skidati hash tablice ali to niti jedan zdravi čovjek neće ići raditi na malenom, nezanimljivom sajtu

[retro_one]

koristi SHA1 jer se kod MD5 moze dogoditi da dva stringa imaju isti MD5 hash...highly unlikely....ali moguce je

iako postoji jos jedna stvar....ako neko uspije doci do pristupa bazi...to sto je pass hashiran...na kraju nis ne znaci...

[Sulien]

da, ako ti netko upadne sa read/write permissionima u bazu onda ti nema spasa... ali u većini slučajeva neće biti tako lako za njega, morat će postepeno kopat u sustav... najlakše mu je da se domogne passworda tako da na nekom bezazlenom ispisu iz baze ubaci nešto SQL injectionom (ako zna kako se zove users tablica) i volia - user passwordi na pladnju

ako su hashirani to ne radi - uz to, admin ne smije znati tuđe passworde, so there

[retro_one]

gle...to sto admin zna ili ne zna neciji pass...ne bude ga sprijecilo u apsolutno nicem ak zeli sjebat nekog

a i vecina ljudi koristi istog usera za select i za insert/update tablice....tak da ak uspijes injectat sql...za select iz baze...uspjet ces injectati i sql za update/insert u bazu...so there

[carr]

Sulien wrote:

Pa passworde uvijek čuvaj hashirane u bazi, bilo za admina bilo za korisnike Znači pospremi hash (SHA, MD5) od passworda u bazu, login provjeravaj tako da hashiraš ono što je čovjek unio i usporediš to sa hashom iz baze Na taj način niti jedan password nije 'čitljiv', čak i ako se netko dočepa podataka iz baze Naravno netko može probati bruteforce-ati ili skidati hash tablice ali to niti jedan zdravi čovjek neće ići raditi na malenom, nezanimljivom sajtu

naravno, tada "i am konj, what's my password?" nece radit

[retro_one]

carr wrote:

naravno, tada "i am konj, what's my password?" nece radit

pa...ak imas u bazi hashirane passworde...on request generiras novi...ne saljes stari...

[unique]

retro_one wrote:

a i vecina ljudi koristi istog usera za select i za insert/update tablice

hmm jel i mysql moze privilegirat usere? ... kak mi to nikad nije palo na pamet :) (nije da sam bas proucavao security ali...)

nego evo neki dan sam naletio na jedan zanmljiv link Authenticating on the Web (zapravo se radi o nekakvom linux howto, ali pocni citat od 11.2.1, moglo bi bit neke koristi :) )

[retro_one]

da...mozes grantati useru razne privilegije...iako posto su programeri po defaultu lijeni obicno grantaju useru sve privilegije

[Sulien]

@carr: po mom iskustvu svi sustavi registracije kojima kažem da sam zaboravio pass izgeneriraju novi i pošalju na mail, ne kažu ti tvoj stari pass jer ne mogu

jedino stock.xchng pamti passworde od onih koje znam, ali je*ga, oni ne čuvaju userima nikakav sensitive data

[Tomz]

Možda sam krivo objesnio:

u prvom phpu koji se zove kreiraj_korisnika.php ima forma sa action="kreiraj.php" kada user unese podatke u polja i submita podatke iz formu u kreiraj.php.
U kojem će user laganim stiskom desne tipke miša i klikom na View Page Source vidjeti npr ovo:

if (mysql_connect('localhost', 'Bk', 'str5212'))
echo ("Spojen sam na bazu podataka<br>");
else
die ("Nemogu se spojiti na pazu podataka");

ako user i malo poznaje Php i MySql moći će bez problema uči u bazu i raditi što hoće. Neće koristiti svoj user name koji može samo čitati podatke. Nego će koristiti glavni koji može čitati pisati prepravljati brisati..........

Na nekim forumima kod registracije forma prosljedi podatke ali taj glavni Php koji kreira nemoguće je naći i vidjeti njegov source.

Ne pada mi na pamet kako da to napravim.

Hvala!

[retro_one]

kako ti se vidi php source? jel tebi radi php uopce na tom serveru? i mislim da malo brkas pojmove mysql user i user tvog sistema....

[Tomz]

retro_one wrote:

kako ti se vidi php source? jel tebi radi php uopce na tom serveru? i mislim da malo brkas pojmove mysql user i user tvog sistema....

Server mi je offline samo testiram pomoću EasyPHP-a.

Možeš li mi objasniti razliku? Možda po tome idem u krivom smjeru.

[unique]

pa probaj vidjet source npr. ovog foruma nemoguce je vidjet source .php datoteke (onoga sto je izmedju <?php ?>) jedino ako se ne radi o necem drugom...

[Tomz]

Koji sam ja konj. Bio sam ubjeđen da se može vidjeti ali kad sam probao na savom primjeru vidjeti source stvarno ga nema.

Hvala svima! Usput ste objasnuli ostale fore za zaštitu koje će mi pomoći.

Još sam početnik pa neke stvari ne kontam.

[Sulien]

Haha to me podsjetilo kako sam prvi put instalirao Apache + PHP na svoj stroj (na Linuxu). Sad idem ja dohvatit file preko filesystema i čudim se kako mi se PHP ne izvršava nego dobijam source ono, uopće nisam kužio kako server zapravo radi

onda sam se bacio na manuale i nakon researcha sam utipkao http://localhost/

[carr]

retro_one wrote:

pa...ak imas u bazi hashirane passworde...on request generiras novi...ne saljes stari...

znam stari, to je vise bila kao dodatna informacija za nekog ko ovo cita.