Δημοσιεύτηκε: 29 Ιουν 2011, 08:50
M.Jackson έγραψε: το login.php για να συνδεθεί με την βάση και να συγκρίνει τους κωδικούς θέλει τα στοιχία πρόσβασης στον host και στην βάση δεδομένων, αυτά είναι εκτεθειμένα δηλαδή είναι μια απλή εντολή
Αυτή η εντολή θα μείνει ως έχει. Δεν υπάρχει άλλος τρόπος μιας και η php πρέπει να συνδεθεί με την βάση δεδομένων. Ο κωδικός και το όνομα χρήστη θα πρέπει να δωθούν, ό,τι και να κάνεις θα φαίνεται. Μη δίνεις στον εαυτό σου την ψευδαίσθηση ότι είσαι ασφαλής αν κρυπτογραφήσεις τον κωδικό της mysql.
Σκέψου το: Ένα άτομο που κατάφερε να σπάσει την ασφάλεια σου και να διαβάσει τα αρχεία σου, προφανώς θα βρει τρόπο να διαβάσει και ένα αρχείο php με τη δική σου μέθοδο για encrypt / decrypt.
Το ssl που ανάφερε ο Star_Light είναι μια πολύ καλή ιδέα -- κρυπτογραφεί τη σύνδεση μεταξύ http server/client ή μπορείς να κρυπτογραφήσεις και τη σύνδεση μεταξύ php/mysql: http://www.madirish.net/?article=244
Star_Light έγραψε:Eπειδη εχω μεινει λιγο πισω στην PHP αυτα που λετε στον κωδικα παιζουν και χωρις ο αλλος να εχει βαλει ας πουμε SSL στην ιστοσελιδα του????
Ναι, απλά χρειάζεσαι τις εντολές που παρέχει η php (sha1() για παράδειγμα).
Υπάρχει και τρόπος με ssh tunnel (δεν το δοκίμασα):
http://stackoverflow.com/questions/3096 ... ssh-in-php
http://www.howtoforge.com/secure_mysql_ ... ssh_tunnel