Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Сообщения за день
 

Вернуться   Форум Flasher.ru > Flash > Серверные технологии и Flash

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 17.12.2006, 23:36
dacino вне форума Посмотреть профиль Отправить личное сообщение для dacino Найти все сообщения от dacino
  № 1  
Ответить с цитированием
dacino
[+1.3 15.11.06]
[+1 12.01.07]

Регистрация: Nov 2006
Сообщений: 149
Отправить сообщение для dacino с помощью ICQ
Question где хранить пароль?

в вопросах IT безопасности не асс, так что прошу просветить:
надо создать систему доступа к базе данных для N-го числа пользователей 2-х типов(админы и юзвери), их система авторизации уже готова(пароль от базы MySQL), регестрировать каждого пользователя в базе(я про mysql.user) смысла не вижу, поэтому создал двух пользователей(user и admin) с соотв. привелегиями, дык вот гдеб хранить их пароли лучше всего?
если можно с подробностями... чтоб неособо просвещенному понять как с этим работать...
__________________
зри в _root

Старый 17.12.2006, 23:56
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 2  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,787
Захешировать и в базе.

Старый 18.12.2006, 00:26
dacino вне форума Посмотреть профиль Отправить личное сообщение для dacino Найти все сообщения от dacino
  № 3  
Ответить с цитированием
dacino
[+1.3 15.11.06]
[+1 12.01.07]

Регистрация: Nov 2006
Сообщений: 149
Отправить сообщение для dacino с помощью ICQ
если в базе, то какой пользователь должен его извлекать?
тогда в базе должен быть пользователь и без пароля имеющий доступ к таблице с пользователями(простите за каламбур)
тогда чтоб авторизовать пользователя надо обратиться к базе, вот как сделать это обращение безопасным?
__________________
зри в _root

Старый 18.12.2006, 00:44
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 4  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,787
Он у тебя что, с phpMyAdmin работает? Пользователей к самой базе может быть несколько, с разными правами. При коннекте просто используется введенный пароль и всё. Сами пользователи и пароли хранятся где-то внутри MySQL, там же, где и root.

Старый 18.12.2006, 01:16
dacino вне форума Посмотреть профиль Отправить личное сообщение для dacino Найти все сообщения от dacino
  № 5  
Ответить с цитированием
dacino
[+1.3 15.11.06]
[+1 12.01.07]

Регистрация: Nov 2006
Сообщений: 149
Отправить сообщение для dacino с помощью ICQ
вот так я не хочу, в #1 я писал что от базы "реальных" пользователей у меня два, а собственные пароли используются только для авторизации, работают же все или как admin или как user, моя таблица с пользователями никакого отношения к mysql.user иметь не должна
таблица пользователей:
Код:
CREATE TABLE `users` (
  `id_user` int(11) NOT NULL auto_increment,
  `user_name` varchar(32) collate utf8_bin default NULL,
  `user_type` set('admin','user') collate utf8_bin default NULL,
  `login` varchar(16) collate utf8_bin NOT NULL default '',
  `passw` varchar(16) collate utf8_bin default NULL,
  PRIMARY KEY  (`id_user`),
  UNIQUE KEY `user_name` (`user_name`)
)
и смотря какого типа пользователь, такая сессия ему и открывается а все свои действия(в скриптах) он будет выполнять от пользователя user или admin, вот их имя и пароль хранить гдето требо
__________________
зри в _root

Старый 18.12.2006, 01:26
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 6  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,787
Храни в отдельной таблице.

Старый 18.12.2006, 01:41
dacino вне форума Посмотреть профиль Отправить личное сообщение для dacino Найти все сообщения от dacino
  № 7  
Ответить с цитированием
dacino
[+1.3 15.11.06]
[+1 12.01.07]

Регистрация: Nov 2006
Сообщений: 149
Отправить сообщение для dacino с помощью ICQ
зачем мне вторая таблица пользователей, и опять же для авторизации скрипт должен получить доступ к этой таблице -
Код:
$linc = mysql_connect($host,$user,$passw);
mysql_select_db("mydb", $db); 
$sql = "SELECT id_user,user_name,user_type FROM users WHERE login='".$login."'AND passw='".$us_passw."'";
$result = mysql_query($sql);
вот вся проблема в том чтоб где-то хранить значения этих переменых
$host,$user,$passw, чтоб доступ к ним мог получить только мой скрипт
__________________
зри в _root

Старый 18.12.2006, 01:48
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 8  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,787
В самом скрипте и хранить или в конф. файле рядом. Если содержимое твоего скрипта уже получено, то уж достать всё остальное не составляет труда.

Старый 18.12.2006, 01:54
dacino вне форума Посмотреть профиль Отправить личное сообщение для dacino Найти все сообщения от dacino
  № 9  
Ответить с цитированием
dacino
[+1.3 15.11.06]
[+1 12.01.07]

Регистрация: Nov 2006
Сообщений: 149
Отправить сообщение для dacino с помощью ICQ
тоесть если удается получить код исполняемого файла, то далее строить преграды смысла не имеет?

просто когдато нечайно выкачал сайт, и там были файлы *.php со скриптами, вот хочу чтоб если такое случится с моим сайтом, его какая-нибудь добрая душа не повалила
__________________
зри в _root


Последний раз редактировалось dacino; 18.12.2006 в 02:01.
Старый 18.12.2006, 01:57
etc вне форума Посмотреть профиль Найти все сообщения от etc
  № 10  
Ответить с цитированием
etc
Et cetera
 
Аватар для etc

Регистрация: Sep 2002
Сообщений: 30,787
Ну конечно. А получить контент php файла можно или залив через дыру в скрипте шелл или же просто сломать ftp (подобрать пасс, хе-хе).
Всё в целом зависит от того, насколько взломоустойчив твой скрипт. Ну там, SQL-Inject, XSS, такие дела…

С внешним конфигом, конечно, чуть-чуть понадежнее, но ненамного — подключение конфига будет в исходном коде.

Создать новую тему Ответ Часовой пояс GMT +4, время: 10:04.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 10:04.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.