| |
|
|
| | В поисках нужной информации, я часто встречал в скриптах запросы на проверку идентичности в базе данных логина и пароля одновременно. Понимаю, это желание каждого, но все же не встречал нигде запросы отдельно, кроме, как организовать .htaccess.htm.
Я слышал, при взломе запросо в базу данных, чтобы узнать пароль (логины ведь знают все) подстраивают запрос, проводят различные комбинации с запросами...потому советуют сначала проверять логин, а после пароль. Также слышал и за кодировку этих паролей.
Вопрос в следующем: каким образом можно обеспечить защиту паролей от атак к базе данных и каким образом нужно проверять на идентичность пароли, ведь уже обходят не только запросы, а ломают сессии... | |
| |
|
|
| |
|
|
| |
для: Денис
(22.03.2005 в 23:49)
| | | Ну есть возможность шифровать данные средствами mysql. Даже если взломают не получат данные.
А сесии ломают , только если человек сам разместил ссылку со своей сессией.
Да и взломать могут все! Вопрос только в том какова цена.
Если на рядовом сайте нет грубых багов, то врядли его будут сутками проверять на ошибки. | |
| |
|
|
| |
|
|
| |
для: Денис
(22.03.2005 в 23:49)
| | | В первую очередь нужно очень тщательно проверять информацию, поступающую от пользователей http://www.softtime.ru/info/articlephp.php?id_article=35. Лучше всю текстовую информацию прогонять через функцию mysql_escape_string http://www.softtime.ru/dic/id_dic=96&id_group=2 - это позволит обезопасить ваши Web-приложения от SQL-инъекций. Числовые параметры и параметры в которых всегда передаётся фиксированное число строковых констант следует проверять по регулярному выражению.
Кроме того, как правильно говорит Akira, пароли в базе данных следует подвергать необратимому шифрованию, для этого в MySQL имеется множество встроенных функций - PASSWORD, MD5 и др. | |
| |
|
|
