Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
У меня ощущение, что отвечающие читают только знакомые слова, не напрягаясь понять написанное в целом. 01.03.11 02:02 Число просмотров: 6692
Автор: Fighter <Vladimir> Статус: Elderman Отредактировано 01.03.11 02:02 Количество правок: 1
|
> > Ну-ну... Блаженны верующие ;) Хозяин уверен, что > знает.И, > > пока данные шлет его фронт-энд, это так и есть. Но > > фронт-энд может сварганить кто-то другой и поэтому и > > приходится извращаться с фильтрацией, экранированием, > > проверками... > О чём вы, сударь? Фильтрация и экранирование - это крайние О проверках, уважаемый! И о фильтрации с экранированием при необходимости.
> меры. Правильное решение - проверка на соответствие > ожидаемому типу данных. Нормальный пользователь просто не > сможет внедрить в поле md5 что-либо, а ненормальных - в > баню. Слушай, ты вообще о чем? Чего ты с этим md5 носишься как дурень с писаной торбой... Злоумышленник не будет использовать веб-форму на твоем сайте и/или сервере. Ему твой фронт-энд до %опы если только он не позволяет использовать известные злоумышленнику дыры.
> > А ну-ка показывай пример как можно прорвать этот шаблон! ;) > > if (!preg_match("^[0-9a-f]{32}$i",$_POST['md5']) {
> trow("mistaked md5 data, possible cracker's attack");
> } ---
На хуя мне это нужно и что ты пытался мне доказать написав это? Что знаком с регэкспами?
> > > > Кстати, вместо md5 лучше использовать sha1. > Читай md5, как "некий удобный алгоритм хеширования, который > в принципе не имеет значения". Не принципиально - сути не > меняет. > > >> В результате на сервере может храниться хэш > пароля, > > Должен. Не "может", а должен. Пароли в чистом или > обратимо > > зашифрованном виде уже даже мелкософт лет > десять-двенадцать > > как хранить перестал. > >> а сравниваться он будет с повторным хэшем > источника и соли. > > Что есть такое "соли"? > Не стоит рвать предложение: Не стоит писать всякую хрень. Включи разум, перечитай тебе написанное и подумай что именно тебе писали.
> Уточняю чуть другими словами. > Сервер может хранить хэш, а сравнение проводить, используя > простую функцию f(hash+salt) > Солью в данном случае отлично служит капча. > В качестве f может быть что угодно. На вскидку всё тот же > md5 > Нет смысла в необратимо-хэшированном пароле если хэш > одинаковый от сессии к сессии. > > > > Рекомендую забить на нее и использовать mysqli. Там > есть > > все и даже больше. > Не думаю, что это решение идеально, я предпочитаю писать не > привязываясь к конкретным расширениям, ибо далеко не везде > они могут быть. Ога, рекомендуемая тобой библиотека есть везде )))
> > И да, разумеется в php были баги типа внедрения нульевого > символа в строку - подобные фишки нужно помнить, но не > стоит заморачиваться на них. Не надо быть параноиком, а > просто иметь в каком из мест надо обратить внимание. При > использовании функций типа pg_prepare эта проблема уходит в > никуда. > Про нуль можно почитать, например, по ссылке.
|
|
|