ugrás a tartalomhoz

POST küldésnél biztonságosabb bejelentkezés?

Anonymous · 2006. Okt. 14. (Szo), 11.39
Azt halottam, hogy egy bejelentkezési űrlap (LOGIN) post-olása (method=”POST”) nem elég biztonságos és hogy van ettől sokkal biztonságosabb megoldás. Az én általam használt megoldás SQL-beoltásos támadás ellen is véd – mysql_real_escape_string() . De a halottak alapján még sem a legbiztonságosabb.

Olyan e-mail szolgáltatók mint pl. a Yahoo is más módszert alkalmaznak. Ők hogyan csinálják?

A PHP kézikönyvben megtalálhatom e a választ? Én eddig nem találtam benne!

Előre is kösz.
‹ POST-bol erkezo adatok megtisztitasa Táblálból adat kiolvasás véletlenszerűen(random) ›
 
1

he?

amonrpg · 2006. Okt. 14. (Szo), 11.54
Akkor biztonságos, hogyha https-en loginoltatsz, amúgy meg plain/text formátumban utaznak az adatok a kliens és a szerver között, kódolatlanul.
Mit jelent számodra a biztonság?
Ha olyan eljárást alkalmazol, ahol nem lehet, vagy nehéz kipörgetni vkinek a jelszavát, akkor oké.
Mi az az SQL-beoltás? rotfl Gondolom az SQL-injection-re gondolsz. :D Izé, találhattak volna jobb magyar szót is rá, bárkinek a fejéből is pattant ki ez a röhejes fordítás... (morgás off).
Szóval a mysql_real_escape_string a barátod, bár én a helyedben írnék sajátot, amelyben escape-elek minden táblanevet, minden adatot a neki megfelelően.

A PHP kézikönyvben sok hasznos infó van, de nem helyettesíti az eszedet.

1, Gondolkozz, hogyan lehet megfektetni a kódodat.
2, Aztán javítsd ki, hogy ne lehessen.
3, Goto 1.

Amúgy meg mérlegelj, mennyi befektetett munka áll arányban a betörés valószínűségével. A személyes honlapokra a kutya se akar általában bemenni, mert semmi értékes nem leledzik ott. Így oda gyengébb (megfelelőképpen erős) védelem éppen elég, míg egy T* csoport (közutálat), vagy egy Google (kihívás) már nem engedheti meg magának, hogy ne betonbiztos védelemre törekedjen.

Ilyen egyszerű. A jelszó: "költséghatékonyság".
2

off

krey · 2006. Okt. 14. (Szo), 12.16
Javasolnám az SQL-beszúrást, beillesztést :P
Az oltás egy pozitív dolog, védekezés egy betegség ellen, az SQL indzseksön meg nem éppen :)

üdv. krey
4

injection = injekció = oltás

Anonymous · 2006. Okt. 14. (Szo), 18.15
szerintem teljesen mindegy, ki mit javasol, ez a neve.
lehet szótárazni, vagy dokumentációt olvasgatni.

gex

u.i.:
Az oltás egy pozitív dolog, védekezés egy betegség ellen

szerintem az a védőoltás.
3

alternativak

wiktor · 2006. Okt. 14. (Szo), 15.36
Nem tudom milyen környezetben szeretnéd használni, de esetleg httpauth-ot is kipróbálhatsz. Ha fontos a biztonság akkor abból is inkább a digest-et.
http://hu.php.net/features.http-auth

Ha tudsz javascript-et használni, akkor nézd meg ezeket.
http://ajaxpatterns.org/Direct_Login
http://www.peej.co.uk/articles/http-auth-with-html-forms.html

Sok sikert!
5

halottam, halottak

csla · 2006. Okt. 15. (V), 11.03
[off]
Halottak esetében pedig csak a POST humusz jöhet szóba... :D
[/off]
6

Kösz

cbastiano · 2006. Okt. 21. (Szo), 13.11
Kösz szépen a segítséget. Utána nézek azoknak, amiket ajánlottatok.

Az „SQL-beoltást” pedig a PHP kézikönyvből vettem. Abban fordították az SQL-injectiont így le.
7

Kerdes

Anonymous · 2006. Okt. 21. (Szo), 13.44
A mod_ssl-t PHP-bol el lehet inditani ? Amikor kesz a bejelentkezes meg lecsukni ?
8

mod_ssl

Anonymous · 2006. Okt. 21. (Szo), 14.20
Ha a mod_ssl be van kapcsolva, https-en keresztül is el lehet érni az oldalt. PHPból meg le kell kezelni, hogy másként ne lehessen. Ergo, a https-es címre kell linkelni.