| Autor | Správa |
|---|
uUsErR
Užívateľ
Založený: 16.10.2008
Príspevky: 84
 |  Zaslal: St 02.09.09 18:38 |   |
SHA1 ešte prekonané nebolo a v súčastnosti je najbezpečnejšie.
Salt je dobrá metóda na obranu (není možnosť že v databáze budú dve heslá rovnaké). Okrem hesla by som už nič nehashoval.
Príklad: pri registrácii do db uložím zadaný nick a heslo ktoré sa bude skladať zo zahashovaného nicku+hesla+nejakých blbostí typu hatlamatla stanovených serverom. Pri prihlasovaní overím nick a to heslo (zasa si ho zložím zo zadaného nicku+hesla+tých blbostí) overím s tým čo mám v databáze ak ok tak ok. Ak mi niekto ukradne databázu, nič sa nestane, ak aj prístup ku kódu, tiež nič. Ak niekto získa prístup na server s plnými právami som v peknej  ale proti tomu nič neexistuje. |
_________________
CPU-IntelCore2Duo E7200 3MB L2C 3.2GH, GK-EN8500GT Silent 512MB, Mb.-Asus P5K SE SuperMemspeed, HDD-180GB | |
    |
|
rooobertek
Skúsený užívateľ
Založený: 09.07.2008
Príspevky: 1582
| | Zaslal: St 02.09.09 20:37 | |
Sha1 prekonané BOLO. |
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! | |
|
|
uUsErR
Užívateľ
Založený: 16.10.2008
Príspevky: 84
| | Zaslal: St 02.09.09 20:52 | |
No OK tak bolo, ale sha1 sa dá prelomiť iba útokom brute-force čo je dosť ťažké. Existujú teda v php iné bezpečnejšie riešenia hashovania ako pomocou sha1? |
_________________
CPU-IntelCore2Duo E7200 3MB L2C 3.2GH, GK-EN8500GT Silent 512MB, Mb.-Asus P5K SE SuperMemspeed, HDD-180GB | |
|
|
GoodWill
Skúsený užívateľ
Založený: 29.10.2007
Príspevky: 913
Bydlisko: Bratislava
|
Co znamena bezpecnejsie? Ak ti ide o to aby nikto z hashovaneho stringu nedostal heslo, tak to z velkej casti riesi salto 
Pripadne sha1(md5(heslo + salto)) ale to uz su uchylnosti
shaggy: to je salt, nie salto  |
_________________
Koľko SEO expertov je potrebných na výmenu žiarovky výmena žiaroviek žiarovka nové žiarovky úsporné žiarovky sexy žiarovka? | |
 |
|
rooobertek
Skúsený užívateľ
Založený: 09.07.2008
Príspevky: 1582
|
|
|
|
pilná lama glama
Zablokovaný užívateľ
Založený: 30.04.2009
Príspevky: 733
| | Zaslal: St 14.10.09 15:19 | |
pokial beriem nieco cez get a viem ze nieje retazec dlhsi ako 10 staci ako ochrana strlen(), a ak ano aky najkratsi retazec by ma mohol ohrozit?
edit...do DB |
| |
|
|
miso250593
Užívateľ
Založený: 20.03.2008
Príspevky: 566
| | Zaslal: St 14.10.09 15:37 | |
or 1=1
 |
| |
|
|
pilná lama glama
Zablokovaný užívateľ
Založený: 30.04.2009
Príspevky: 733
| | Zaslal: St 14.10.09 15:50 | |
dobra pripomienka az ma zamrazilo
ale to iba v pripade ze dosadim GET do WHERE a tam pustam iba num |
| |
|
|
miso250593
Užívateľ
Založený: 20.03.2008
Príspevky: 566
| | Zaslal: St 14.10.09 16:02 | |
napríklad, ja $_GET proste ošetrujem nejak takto
| kód: | | preg_replace("([^a-zA-Z0-9])", "", $_GET[nieco]); |
|
| |
|
|
Wicky
Užívateľ
Založený: 06.07.2008
Príspevky: 28
Bydlisko: City 17
| | Zaslal: St 11.11.09 15:35 | |
Nazdar, niekto tu spominal hashovanie Nicku a e-maliu.. (podla mna to je blbost) ale ako napr. chranit udaje ako Adresa, telefónne číslo. to je podľa mňa dôležitejšie ako Nick.
a ešte jedna vec, ja ošetrujem vstupy len pomocou htmlspecialchars() nevidim vyznam tam davat ešte aj addslashes. alebo by sa to dalo neako obísť ? dik vopred. |
_________________
"We are willing to suffer, to die for the things we care about. For love, for the right choices." | |
 |
|
GoodWill
Skúsený užívateľ
Založený: 29.10.2007
Príspevky: 913
Bydlisko: Bratislava
| | Zaslal: St 11.11.09 15:45 | |
ochrana dat a ochrana scriptov su 2 uplne rozdielne veci.
ak mam v systeme data ktore potrebujem chranit aj pre pripad uspesneho utoku na system (pristup utocnika k datam a zdrojakom), tak pouzivam sifrovanie pomocou dvojice klucov (data su sifrovane public klucom ktory je na serveri a utocnik ho pravdepodobne zisti, ale desifrovanie je mozne len pomocou privatneho kluca ktory mam len ja a na servery nikde nie je) |
_________________
Koľko SEO expertov je potrebných na výmenu žiarovky výmena žiaroviek žiarovka nové žiarovky úsporné žiarovky sexy žiarovka? | |
|
|
miso250593
Užívateľ
Založený: 20.03.2008
Príspevky: 566
| | Zaslal: St 11.11.09 15:45 | |
keď nepoužiješ addslashes a budeš chcieť vložiť ' tak ti to prinajlepšom vyhodí chybu. |
| |
|
|
Wicky
Užívateľ
Založený: 06.07.2008
Príspevky: 28
Bydlisko: City 17
| | Zaslal: St 11.11.09 16:30 | |
| citácia: | | ochrana dat a ochrana scriptov su 2 uplne rozdielne veci. |
Preto mam medzi otazkami medzeru
ale k teme Goodwill dik uplne som zabudol že sa dáta dajú aj tak šifrovať aby sa dali dešifrovať.
| citácia: | | keď nepoužiješ addslashes a budeš chcieť vložiť ' tak ti to prinajlepšom vyhodí chybu. |
ja addslashes nepoužívam. a samo mi dáva pred uvodzovky lomitka, takže to asi robia magic_quotes.
keby som mal magic_quotes vypnute, tak by mi to hadzalo chyby?
a ešte jedna vec, teda ak mam tie Quotes zapnute a dam tam aj addslashes nebude sa to šahať?
DIKI moc všetkym už som to pochopil , niekedy stači tak malo |
_________________
"We are willing to suffer, to die for the things we care about. For love, for the right choices." | |
|
|
pilná lama glama
Zablokovaný užívateľ
Založený: 30.04.2009
Príspevky: 733
| | Zaslal: St 11.11.09 16:52 | |
mna by zaujmalo ci ta ochrana if is_numeric je sama osebe neprekonatelna tj ci ceznu nieco neprejde zabalene v specialnych znakoch, pouzivam totiz ciselny hash ID-u |
| |
|
|
Ďuri
Administrátor
Založený: 11.08.2007
Príspevky: 3626
Bydlisko: Brno
| | Zaslal: St 11.11.09 17:07 | |
Je to bezpecne, ale ak pouzivas prirodzene cisla, skus is_int() || ctype_digit(). |
| |
 |
|
|
