Boa noite galera!
Sou iniciante em php e estou preparando um sistema de login (para fins de aprendizado) baseado em sessions. Basicamente é feito o seguinte:
1- É feita uma consulta no banco onde nome e senha coincidam com um determinado registro;
2- Caso seja encontrado um registro com esses critérios, serão criadas sessions com dados como a id do usuário para posteriores consultas como alteração de dados e etc...
3 - Em todas as páginas é checada se uma determinada session (tipo... $_SESSION['logado']) existe, caso exista exibe a página, caso contrário é exibida uma mensagem.
Minhas dúvidas são as seguintes:
1)Sessions realmente são seguras para guardar informações importantes, tipo, existe a possibilidade de pegarem dados como nomes e valores de sessions indevidamente?
2)Existem mesmo maneiras de pessoas fazerem o download de todos os arquivos de nosso site? Tipo, denho uma pasta chamada dados com o arquivo conecta.php, onde há senha, nome do bd e usuário do meu banco de dados, se alguém fizesse o down desse arquivo, poderia apagar meu bd todo, alterar dados, enfim, fazer uma lenha!
3)Li a respeito de criptografia, para no caso de senhas, o formulário envia os dados recebidos criptografados para o banco e apenas decodifica o mesmo na hora da exibição. Gostaria de saber, atualmente, qual o método considerado mais seguro e se existe a possibilidae ou existem casos desses dados serem "descodificados" indevidamente.
Por favor, me perdoem e me corrijam se falei alguma besteira aqui, e, minha intenção com este tópico é ter uma referência para os métodos mais seguros para poder estudá-los.
Agradeço desde já.
Php Com Segurança
Started By Renan Fernandes, 13/12/2007, 22:02
2 replies to this topic
#1
Posted 13/12/2007, 22:02
#2
Posted 15/12/2007, 00:05
1)Sessions realmente são seguras para guardar informações importantes, tipo, existe a possibilidade de pegarem dados como nomes e valores de sessions indevidamente?
pode usar e abusar de sessions...
2)Existem mesmo maneiras de pessoas fazerem o download de todos os arquivos de nosso site? Tipo, denho uma pasta chamada dados com o arquivo conecta.php, onde há senha, nome do bd e usuário do meu banco de dados, se alguém fizesse o down desse arquivo, poderia apagar meu bd todo, alterar dados, enfim, fazer uma lenha!
esquece! nao tem como o cara pegar o seu arquivo.php.... a nao ser q vc passe a sua senha de ftp
hahahaa
3)Li a respeito de criptografia, para no caso de senhas, o formulário envia os dados recebidos criptografados para o banco e apenas decodifica o mesmo na hora da exibição. Gostaria de saber, atualm
nao use criptografia.....use hash....(md5, sha1 )
se quiser msm criptogafia, use base64
pode usar e abusar de sessions...
2)Existem mesmo maneiras de pessoas fazerem o download de todos os arquivos de nosso site? Tipo, denho uma pasta chamada dados com o arquivo conecta.php, onde há senha, nome do bd e usuário do meu banco de dados, se alguém fizesse o down desse arquivo, poderia apagar meu bd todo, alterar dados, enfim, fazer uma lenha!
esquece! nao tem como o cara pegar o seu arquivo.php.... a nao ser q vc passe a sua senha de ftp
hahahaa
3)Li a respeito de criptografia, para no caso de senhas, o formulário envia os dados recebidos criptografados para o banco e apenas decodifica o mesmo na hora da exibição. Gostaria de saber, atualm
nao use criptografia.....use hash....(md5, sha1 )
se quiser msm criptogafia, use base64
"Ninguém é tão inteligente que não possa aprender e ninguém é tão burro que não possa ensinar.."
"As dúvidas engrandecem nossa sabedoria, mas não basta somente tirá-las, temos que entendê-las"
"As dúvidas engrandecem nossa sabedoria, mas não basta somente tirá-las, temos que entendê-las"
#3
Posted 15/12/2007, 12:37
Ok, muito obrigado pela resposta.
Estive dando uma olhada no manual sobre o MD5 e é muito fácil de usar, na verdade não tenho nada que decodificar, até porque me parece meio que impossível, na verdade oque tenho que fazer é usar MD5 tanto na hora de enviar quanto na hora de receber e comparar os dados.
Obrigado mesmo, é que essa questão de segurança é realmente muito importante. Isso faz com que eu me apaixone cada vez mais por essa linguagem que além de open-source, é de um poder fenomenal!
Estive dando uma olhada no manual sobre o MD5 e é muito fácil de usar, na verdade não tenho nada que decodificar, até porque me parece meio que impossível, na verdade oque tenho que fazer é usar MD5 tanto na hora de enviar quanto na hora de receber e comparar os dados.
Obrigado mesmo, é que essa questão de segurança é realmente muito importante. Isso faz com que eu me apaixone cada vez mais por essa linguagem que além de open-source, é de um poder fenomenal!
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)