Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
| Autor | Správa |
|---|
Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5 |
chcel by som sa spitat, ako spravit prihlasovanie uzivatelov tak ze registracia prebehne len administratorom (ziadna moznost registracie cez net), a pristupove mena a hesla nebudu len tak v TXT.
niesom az taky macher v PHP tak by ma zaujmalo ako to riesit, viac menej ani neviem ako to funguje na forovom systeme
|
|
Registrovaný: 26.11.06
Prihlásený: 09.10.24
Príspevky: 4118
Témy: 319 | 319
Bydlisko: HE/BA |
No ak som pochopil čo chceš, tak, potrebuješ urobiť asi tak aby keď sa niekto registroval, tak ty ho overíš a upravíš mu hodnotu v DB na overený(alebo niečo také) potom to budeš ukladať do sessions také údaje, aby to nikto nemohol zneužiť a aby to bežalo a do DB by si ukladal údaju, ktoré sú zraniteľné.
|
|
Registrovaný: 04.04.07
Prihlásený: 17.07.24
Príspevky: 532
Témy: 35 | 35
Bydlisko: Bratislava |
registracia iba pre adminov sa da robit tak, ze kazdy user ma v db ulozene, ci je adminom a registracna linka sa zobrazuje iba im.
_________________
CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX |
|
Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5 |
djsulo píše: registracia iba pre adminov sa da robit tak, ze kazdy user ma v db ulozene, ci je adminom a registracna linka sa zobrazuje iba im.
nie registracia pre adminov, ale len po podpisani zmluvy dostane prihlasovacie meno a heslo ktore si nevyberie a bude mat pristup na stranku a co zaklikne tak to mi ohlasi a tak podobne, v podstate nieco ako e-shop
|
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
no trošičku nerozumiem. Takže pokiaľ:
- on niečo podpíše tak by si mu mohol na mail poslať jeho údaje ktoré by si vygeneroval
- on niečo podpíše, ty prídeš do administrácie, ,scváliš to a následne mu pošleš mail
V oboch prípadoch ohľadne bezpečnosti:
1, všetko čo ti pošle kontroluj, teda úplne všetky vstupy (aj jazyk jeho browsera  )
2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné)
v prípade druhom by som ešte použil tokeny aby mi niekto nezaspamoval administráciu, atď ...
|
|
Registrovaný: 17.10.06
Prihlásený: 08.01.11
Príspevky: 1752
Témy: 17 | 17 |
Tominator píše: 2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné)
povedal by som, ze to netvrdi len on  http://cryptography.hyperlink.cz/2006/tunely.pdf
_________________
A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
no veď ja nevravím že hovorí hlúposti
//sorry, le vyznelo mi to v podobnom duchu. suchy
|
|
Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5 |
Tominator píše: no trošičku nerozumiem. Takže pokiaľ: - on niečo podpíše tak by si mu mohol na mail poslať jeho údaje ktoré by si vygeneroval - on niečo podpíše, ty prídeš do administrácie, ,scváliš to a následne mu pošleš mail V oboch prípadoch ohľadne bezpečnosti: 1, všetko čo ti pošle kontroluj, teda úplne všetky vstupy (aj jazyk jeho browsera ) 2, hesla ukladaj v sha1 (roobertok tvrdí že md5 už nie je bezpečné) v prípade druhom by som ešte použil tokeny aby mi niekto nezaspamoval administráciu, atď ... yas nechapem ako tz mzslis to podpisovanie, no proste fiyickz pride knam, podpise ymluvz na papierz a potom mu budu poskitnute prihlasovacie udaje na mail trebars, ktore vzmzslim ja.
no ja sa do tejto casti ako je to s heslami neroyumiem vobec, nemusi to bzt uplne ye super tajne, len abz sa to dalo lachko administrovat a nemal ktomu pristup kaydz treti
nenbude to yiadna katastrofa ked sa do toho niekto nabura, lebo aj tak sa to bude potom overovat telefonickz, takye sa na to pride okamyite
prepacte ya y/z som na maminom PC a nemam uy cas to prerobit
PS: co je to "sha1"? diky
shaggy: Ak nemáš čas po sebe prerobiť ten príspevok, tak sem ani nepíš. Ďalší taký podobný ti rovno zmažem. Ak je ťažké pre teba prečítať si pár riadkov, tak sa rovno vykašli na php, to je ešťe ťažšie.
|
|
Registrovaný: 22.01.08
Prihlásený: 19.04.15
Príspevky: 492
Témy: 135 | 135
Bydlisko: Bratislava ... |
geetee píše: yas nechapem ako tz mzslis to podpisovanie, no proste fiyickz pride knam, podpise ymluvz na papierz a potom mu budu poskitnute prihlasovacie udaje na mail trebars, ktore vzmzslim ja.
no ja sa do tejto casti ako je to s heslami neroyumiem vobec, nemusi to bzt uplne ye super tajne, len abz sa to dalo lachko administrovat a nemal ktomu pristup kaydz treti
nenbude to yiadna katastrofa ked sa do toho niekto nabura, lebo aj tak sa to bude potom overovat telefonickz, takye sa na to pride okamyite
prepacte ya y/z som na maminom PC a nemam uy cas to prerobit
PS: co je to "sha1"? diky
Kristova noho! takze takto, odpoviem na poslednu otazku bo zbytku som nerozumel:) Sha1 je sifrovanie v php, ktore je zevraj lepsie nez md5.
takze tak...ja som to este nepouzil furt som zavisly na md5 ale...tak
ako to tak kukam moze to byt dobre, idem si to asi aplikovat do scriptov
|
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
no tak potom geetee fakt nerozumiem kde je problém 
Však urobíš si stránku, ako ju urobíš mi je srdečne jedno. Následne máš dve možnosti:
1, zabezpečiť to cez SESSION, SESSION je PHP premenná
2, zabezpečiť to cez .htpasswd
Čo sa týka konkrétne vkladnia hesiel, môžeš použiť databázu kde budeš uchovávať hesla v sha1, pokiaľ nevieš čo to je použi www.php.net a daj hľadať sha1()
Povedať, že sa na útočníka ľahko príde je hlúposť rovnako povedať že to nemusí byť bezpečné.
|
|
Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5 |
Tominator píše: no tak potom geetee fakt nerozumiem kde je problém Však urobíš si stránku, ako ju urobíš mi je srdečne jedno. Následne máš dve možnosti: 1, zabezpečiť to cez SESSION, SESSION je PHP premenná 2, zabezpečiť to cez .htpasswd Čo sa týka konkrétne vkladnia hesiel, môžeš použiť databázu kde budeš uchovávať hesla v sha1, pokiaľ nevieš čo to je použi www.php.net a daj hľadať sha1() Povedať, že sa na útočníka ľahko príde je hlúposť rovnako povedať že to nemusí byť bezpečné. no toto je presne to co som potreboval, diky moc
a k tomu zabespeceniu, z to uz je jedno ci to bude pod md5 alebo sha1, tak ale si nastudujem rovno to sha1 a som vysmiaty
|
|
Registrovaný: 15.01.09
Prihlásený: 22.03.10
Príspevky: 24
Témy: 5 | 5 |
shaggy: Ak nemáš čas po sebe prerobiť ten príspevok, tak sem ani nepíš. Ďalší taký podobný ti rovno zmažem. Ak je ťažké pre teba prečítať si pár riadkov, tak sa rovno vykašli na php, to je ešťe ťažšie.
ne som bol len na skok na maminom PC bo som bol u nasich a nemal som to uz cas prepisat
uz si dam na to pozor
|
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34 | 34
Bydlisko: Brno |
No, nejdem zakladat novu temu pretoze sa chcem opytat na to iste ako je nazov temy.
Mam takyto postup, zatial len v hlave. Malo by ist o prihlasovanie do administracie:
Uzivatel zada meno a heslo, vstupy sa osetria a pokial sa meno aj heslo zhoduju s nejakym menom v databaze, do tabulky sessions vlozim zaznam so session_id() a casom prihlasenia. Chcem obmedzit cas prihlasenia na povedzme 15 minut od poslednej necinnosti, tak vzdy pri natiahnuti nejakej stranky administracie skontrolujem, ci je zaznam s tymto session_id v tabulke a ci je cas poslednej aktivity tohto session_id menej ako 15 minut od aktualneho casu. Ak nie, exit(); Ak ano, updatnem v tabulke cas poslednej aktivity tohto session_id() na aktualny cas.
Mam otazky: je takyto postup bezpecny? Resp. ako by sa dal zneuzit?
V niektorych temach citam nieco o session_regenerate_id(), mam to pouzit aj ja? Kde presne?
Dik.
|
|
Registrovaný: 04.04.07
Prihlásený: 17.07.24
Príspevky: 532
Témy: 35 | 35
Bydlisko: Bratislava |
session_regenerate_id() pouzi hned na zaciatku, kde volas session_start(). urcite pomaha, vytvara ti nove ID a vsetky udaje ti zachova, takze aj ked niekto odchyti session ID pri behu skriptu, tak mu bude nanic pri dalsom nacitani...
_________________
CPU: AMD Phenom II 940 QUAD X4 BE AM2+, chladic: Arctic Cooling Freezer 64 Pro, RAM: 4GB DDR2 800MHz PC6400, MB: M2N-E SLI, VGA: RX 4870 GAINWARD HD4870 1GB, HDD: WD 1TB, Zdroj: CORSAIR 750W TX |
|
Registrovaný: 07.03.06
Prihlásený: 23.01.11
Príspevky: 404
Témy: 2 | 2
Bydlisko: Prešov / Pr... | |
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
Ďuri píše: No, nejdem zakladat novu temu pretoze sa chcem opytat na to iste ako je nazov temy. Mam takyto postup, zatial len v hlave. Malo by ist o prihlasovanie do administracie: Uzivatel zada meno a heslo, vstupy sa osetria a pokial sa meno aj heslo zhoduju s nejakym menom v databaze, do tabulky sessions vlozim zaznam so session_id() a casom prihlasenia. Chcem obmedzit cas prihlasenia na povedzme 15 minut od poslednej necinnosti, tak vzdy pri natiahnuti nejakej stranky administracie skontrolujem, ci je zaznam s tymto session_id v tabulke a ci je cas poslednej aktivity tohto session_id menej ako 15 minut od aktualneho casu. Ak nie, exit(); Ak ano, updatnem v tabulke cas poslednej aktivity tohto session_id() na aktualny cas. Mam otazky: je takyto postup bezpecny? Resp. ako by sa dal zneuzit? V niektorych temach citam nieco o session_regenerate_id(), mam to pouzit aj ja? Kde presne? Dik. no tak ešte by som dodal, že neoveruješ heslo, tým pádom pokiaľ ja zadám nick a heslo hocijaké, tak sa ti tam dostanem. (ale to si asi myslel )
|
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34 | 34
Bydlisko: Brno |
No ved jasne, to je samozrejmost.
|
|
Stránka: 1 z 1
| [ Príspevkov: 17 ] | |
|
Choď na stránku: