Jump to content
Sign in to follow this  
nomore

Innlogging i PHP, htaccess og header

Recommended Posts

Har pr i dag et innloggingssystem som bruker header, sessions og md5 kryptering både på database og sensitive variabler. Alle sider inkluderes via ei hovedfil, som sjekker tilgang for hver gang.

 

Men eg ønsker å øke sikkerheten et hakk til, og lurer da på å bruke htaccess.

Men må da brukeren logge seg inn to ganger, eller gjelder den ene innloggingen for begge?

 

Noen som har noen eksempler hvor disse to blir brukt sammen?

Share this post


Link to post

digresjon tror eg det heter ;)

 

Personlige opplysninger som skal hentes frem senere blir bare

"kryptert" med reverserbar kryptering. Slike ting som navn, epost og telefoner.

Andre ting som skal brukes, men ikke vises, som for eksempel postnr,

kommunenr og fødselsdato blir kryptert, fordi at dette ikke skal

kunne finnes lett, og sammenlignes. Passord bruker også så klart.

 

I session bruker krypterer eg mye av det samme, mens ting som skal vises, brukernavn og/eller navn krypteres lett slik at det kan reverseres. Oppsett og innstillinger blir ikke kryptert.

 

Paranoid? Kanskje, men eg har rom for mer :thumbup:

Share this post


Link to post

Hvis du vil øke sikkerheten din tror jeg det er lurere å kjøpe et SSL-sertifikat enn å autentisere brukerne dine to ganger med to separate moduler (mod_auth og PHP).

 

Jeg kan ikke se noen umiddelbare fordeler med at både Apache og PHP autentiserer brukeren med samme brukernavn og passord. Eventuelt måtte det være to forskjellige brukernavn og passord der den ene kombinasjonen lå kryptert i databasen og den andre i en skjult htpasswd-fil. Men som foreslått tror jeg det å kjøpe et SSL-sertifikat og eventuelt låse innlogging til bestemte IP'er er en bedre idé dersom det er streng sikkerhet du er ute etter.

Share this post


Link to post

Tanken var ganske enkelt at dersom folk begynte å gjette seg til andre filnavn(som for eks mysql.inc osv) så må de allikevel logge seg inn via mod_auth/htaccess, dersom dette ikke ALLEREDE var gjort via headers og basic realm osv.

 

Men ssl er et godt forslag, filtrering på ip er ikke i dette tilfellet.

 

Eneste grunnen til at eg lurer på dette er pga mod_auth/htaccess ligger tilgjengelig på serveren, og vil begrense tilgang til filer som ikke normal inkluderes. Dvs, normalt sett vil fil1, fil2 osv aksesseres gjennom hovedfila, men dersom en prøver seg ved å skrive fil1 direkte, krever htaccess fortsatt passord.

Share this post


Link to post
Oj

 

Kall filene mysql.php istedet for mysql.inc, så slipper du det problemet

Det løser ikke problemet, folk kan like godt gjette mysql.php...

 

Skal eg løse det slik du fåreslår må eg nesten ta et navn ut av luften: lamainewyork.php.tar ;)

Share this post


Link to post

Eh, jo, det løser problemet, mysql.php utfører ikke noe skadelig kode, den bare definerer mysqlvariable og kobler opp forbindelsen gjetter jeg?

 

Problemet med .inc filer, er at de viser phpkoden. det gjør ikke mysql.php. den kjører phpkoden.

Edited by Torbjørn

Share this post


Link to post
Eh, jo, det løser problemet, mysql.php utfører ikke noe skadelig kode, den bare definerer mysqlvariable og kobler opp forbindelsen gjetter jeg?

 

Problemet med .inc filer, er at de viser phpkoden. det gjør ikke mysql.php. den kjører phpkoden.

Beklager, godt poeng :p

Share this post


Link to post

Tja... et godt alternativ til alle config/class/funksjonsfiler (alle include filer) er å legge til noe som:

 

if( basename(__FILE__) == "navn_på_filen.php" ) {

exit("Du kan ikke åpne denne filen!");

}

 

Legger du til den i includefilene dine, som du nå forhåpentligvis har endret navn på til .php eller lagt til at .inc file skal kjøres som php, så er de filene mye tryggere.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...