[php]Pagina amministrazione

[scrat84]

Ciao a tutti!Avrei bisogno di un piccolo aiuto,premesso che non sono molto esperto di php e sql
Io dovrei realizzare una pagina di amministrazione di un sito per la quale l'accesso è regolata da un nome utente e una password,logicamente la pagina sarà in php ma,immagino, devo anche costruire un database dove andrà memorizzata la password giusto?
Se il modo di procedere è giusto come faccio a memorizzare le password in un modo sicuro?

Scusate forse domande idiote ma davvero non sono ancora molto esperto di questi linguaggi!

Grazie a tutti!

[Lakaj]

Quote:

Originariamente inviato da scrat84

Ciao a tutti!Avrei bisogno di un piccolo aiuto,premesso che non sono molto esperto di php e sql
Io dovrei realizzare una pagina di amministrazione di un sito per la quale l'accesso è regolata da un nome utente e una password,logicamente la pagina sarà in php ma,immagino, devo anche costruire un database dove andrà memorizzata la password giusto?
Se il modo di procedere è giusto come faccio a memorizzare le password in un modo sicuro?

Scusate forse domande idiote ma davvero non sono ancora molto esperto di questi linguaggi!

Grazie a tutti!

Io non so come funziona esattamente, ma tieni presente che, in condizioni normali l'unico ad accedere al codice PHP è il proprietario del webserver o dello spazioweb, cioè tu. Ora non voglio millantare che puoi mettere user e pass in chiaro nel codice php, pero' volendo...

[scrat84]

Si tu hai ragione,però mi sembra un modo poco "elegante" non trovi...?

[vizzz]

in un campo del db, ma in md5
http://it2.php.net/md5

[Lakaj]

Pero' per accedere al database in cui è memorizzata la password, ci vuole la password...
E' un problema ricorsivo

[scrat84]

Grazie!
Ma il campo del database di che genere deve essere?Cioè una password può essere composta sia da numeri che da lettere e entrambi insieme...

[Lakaj]

ehm, a spasso su internet ho trovato questo è normale ?

[Lakaj]

[loris_p]

Quote:

Ma il campo del database di che genere deve essere?Cioè una password può essere composta sia da numeri che da lettere e entrambi insieme...

varchar lunghezza 32

Quote:

Pero' per accedere al database in cui è memorizzata la password, ci vuole la password... E' un problema ricorsivo

la password con cui si accede al database è quella con cui accede l'applicazione e non l'utente (il quale non la deve conoscere)..il db poi dentro può contenere una miriade di pw dei vari utenti, quindi le due cose sono scorrelate ed il problema non è per nulla ricorsivo

Quote:

ehm, a spasso su internet ho trovato questo è normale ?

certo che si..md5 è un algoritmo di hashing, in quanto tale soggetto a collisioni..

Quote:

Brutta faccenda, cosi' la sicurezza dei sistemi unix va a puttane

a parte il fatto che magari l'espressione "viene meno" era più adatta
cosa centra? mysql non è un sistema unix like eppure usa md5 pure lui..e come lui tanti altri..inoltre sui sistemi unix like la sicurezza (per fortuna) non è strutturata in modo così semplice come pensi tu

[scrat84]

Ok grazie a tutti per le risposte!Se ho ancora bisogno vi scrivo ancora!
Ciao ciao

[Lakaj]

Quote:

Originariamente inviato da loris_p

la password con cui si accede al database è quella con cui accede l'applicazione e non l'utente (il quale non la deve conoscere).

Lo so, ma l'applicazione è scritta da chi programma, e chi programma dove la mette, in chiaro nell'applicazione ?

Quote:

Originariamente inviato da loris_p

certo che si..md5 è un algoritmo di hashing, in quanto tale soggetto a collisioni..

Si, ma dal momento che MD5 e' un algoritmo crittografico, mi chiedevo come queste 'collisioni' possano essere sfruttate...
Se tu avessi fatto una breve ricerca ,molti siti parlano dei problemi di sicurezza di questo algoritmo... md5 è insicuro

Quote:

Originariamente inviato da loris_p

a parte il fatto che magari l'espressione "viene meno" era più adatta
cosa centra? mysql non è un sistema unix like eppure usa md5 pure lui..e come lui tanti altri..inoltre sui sistemi unix like la sicurezza (per fortuna) non è strutturata in modo così semplice come pensi tu

Io penserei che la sicurezza di Unix è strutturata in modo cosi' banale ? Questa poi, è bella. Io dico che questo algoritmo è largamente utilizzato su internet e porta a problemi di sicurezza. Unix è un altro discorso.

[loris_p]

Quote:

Lo so, ma l'applicazione è scritta da chi programma, e chi programma dove la mette, in chiaro nell'applicazione ?

solitamente il server di database è accessibile solo da localhost, quindi, se anche sai la password, da remoto non entri

Quote:

Si, ma dal momento che MD5 e' un algoritmo crittografico, mi chiedevo come queste 'collisioni' possano essere sfruttate... Se tu avessi fatto una breve ricerca ,molti siti parlano dei problemi di sicurezza di questo algoritmo... md5 è insicuro

infatti non ho detto che è sicuro..ho detto "è un'algoritmo di hashing, in quanto tale soggetto a collisioni" che tradotto significa "si, è insicuro"..la ricerca riguardo l'insicurezza di md5 la feci qualche anno fa quando il problema si presentò

Quote:

Io penserei che la sicurezza di Unix è strutturata in modo cosi' banale ? Questa poi, è bella. Io dico che questo algoritmo è largamente utilizzato su internet e porta a problemi di sicurezza. Unix è un altro discorso.

ok allora forse avevo capito male