Gå til innhold

Innlogging i PHP, htaccess og header


Anbefalte innlegg

Har pr i dag et innloggingssystem som bruker header, sessions og md5 kryptering både på database og sensitive variabler. Alle sider inkluderes via ei hovedfil, som sjekker tilgang for hver gang.

 

Men eg ønsker å øke sikkerheten et hakk til, og lurer da på å bruke htaccess.

Men må da brukeren logge seg inn to ganger, eller gjelder den ene innloggingen for begge?

 

Noen som har noen eksempler hvor disse to blir brukt sammen?

Lenke til kommentar
Videoannonse
Annonse

digresjon tror eg det heter ;)

 

Personlige opplysninger som skal hentes frem senere blir bare

"kryptert" med reverserbar kryptering. Slike ting som navn, epost og telefoner.

Andre ting som skal brukes, men ikke vises, som for eksempel postnr,

kommunenr og fødselsdato blir kryptert, fordi at dette ikke skal

kunne finnes lett, og sammenlignes. Passord bruker også så klart.

 

I session bruker krypterer eg mye av det samme, mens ting som skal vises, brukernavn og/eller navn krypteres lett slik at det kan reverseres. Oppsett og innstillinger blir ikke kryptert.

 

Paranoid? Kanskje, men eg har rom for mer :thumbup:

Lenke til kommentar

Hvis du vil øke sikkerheten din tror jeg det er lurere å kjøpe et SSL-sertifikat enn å autentisere brukerne dine to ganger med to separate moduler (mod_auth og PHP).

 

Jeg kan ikke se noen umiddelbare fordeler med at både Apache og PHP autentiserer brukeren med samme brukernavn og passord. Eventuelt måtte det være to forskjellige brukernavn og passord der den ene kombinasjonen lå kryptert i databasen og den andre i en skjult htpasswd-fil. Men som foreslått tror jeg det å kjøpe et SSL-sertifikat og eventuelt låse innlogging til bestemte IP'er er en bedre idé dersom det er streng sikkerhet du er ute etter.

Lenke til kommentar

Tanken var ganske enkelt at dersom folk begynte å gjette seg til andre filnavn(som for eks mysql.inc osv) så må de allikevel logge seg inn via mod_auth/htaccess, dersom dette ikke ALLEREDE var gjort via headers og basic realm osv.

 

Men ssl er et godt forslag, filtrering på ip er ikke i dette tilfellet.

 

Eneste grunnen til at eg lurer på dette er pga mod_auth/htaccess ligger tilgjengelig på serveren, og vil begrense tilgang til filer som ikke normal inkluderes. Dvs, normalt sett vil fil1, fil2 osv aksesseres gjennom hovedfila, men dersom en prøver seg ved å skrive fil1 direkte, krever htaccess fortsatt passord.

Lenke til kommentar

Tja... et godt alternativ til alle config/class/funksjonsfiler (alle include filer) er å legge til noe som:

 

if( basename(__FILE__) == "navn_på_filen.php" ) {

exit("Du kan ikke åpne denne filen!");

}

 

Legger du til den i includefilene dine, som du nå forhåpentligvis har endret navn på til .php eller lagt til at .inc file skal kjøres som php, så er de filene mye tryggere.

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...