Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ну-ну... Блаженны верующие ;) Хозяин уверен, что знает.И,... 01.03.11 00:01 Число просмотров: 6704
Автор: Fighter <Vladimir> Статус: Elderman
|
> > > Если не ошибаюсь, POST передает данные от клиента
> к
> > серверу
> > > в защищенном канале. Соответственно, пароль можно
> > Ошибаешься. Если ты не включил защищенный режим, то
> браузер
> > за тебя его сам включать не будет
> > > передавать через POST не прогоняя его через MD5.
> Но
> > хранить
> > > пароль в базе регистрации "открытым текстом" это,
> > мягко
> > > говоря, моветон. И в этом случае, MD5 ,будет
> > вычисляться
> > > только на сервере.
> > Это все до %опы, тем более что MD5 необратима, и нам
> не
> > известно считали ее для пароля или порнофильма. В
> общем
> > случае, запись $_POST['md5'] обещает, что форма имела
> > текстовое поле с именем 'md5' и ее содержимое было
> передано
> > методом $_POST. Но, на то, что это так, мы только
> надеемся.
> > На самом деле, как всегда, предполагаем худшее: не
> было
> > никакой формы, а пришедший в запросе набор данных
> > сформировал злой кулхацкер А Си Сяй, возжелавший наше
> все.
> Угу, тем более, что реализаций md5-js уже до фени, а хозяин
> сайта (кодер как минимум) должен знать какой тип переменной
> используется фронт-эндом.
Ну-ну... Блаженны верующие ;) Хозяин уверен, что знает.И, пока данные шлет его фронт-энд, это так и есть. Но фронт-энд может сварганить кто-то другой и поэтому и приходится извращаться с фильтрацией, экранированием, проверками... Кстати, вместо md5 лучше использовать sha1.
>
> И небольшое увеличение защищённости можно делать как...
> md5(md5(password)+captcha) то есть использовать сессионные
> ключи. В результате на сервере может храниться хэш пароля,
Должен. Не "может", а должен. Пароли в чистом или обратимо зашифрованном виде уже даже мелкософт лет десять-двенадцать как хранить перестал.
> а сравниваться он будет с повторным хэшем источника и соли.
Что есть такое "соли"?
>
> при установке пароля в бд вносится md5(pass) = md5pass
> в форме авторизации висит и каптча, на сервер возвращается,
> например,
> $_POST['checksum'] = md5(md5(pass)+captha)
> сервер зная md5pass легко проверит правильность связки
> пароль + каптча например так.
>
> select id from users where md5(md5pass+'$captcha') ==
> '$checksum';
>
> К слову сказать, мне оч нравится идея sqlite да postgree с
> подготовкой запросов. Тот же pg_prepare:
> $result = pg_prepare($dbconn, "my_query", > 'SELECT * FROM shops WHERE name = $1');
> $result = pg_execute($dbconn, "my_query", array("Joe's
> Widgets"));
---
>
> Аналогичные плюшки разработаны и для Mysql. На вскидку -
> Котеров написал неплохую либу. Грех не воспользоваться ею.
> Разумеется, прочитав исходники да описание многие вещички
> станут на свои места.
Рекомендую забить на нее и использовать mysqli. Там есть все и даже больше.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
