سوال:امنيت پسورد در php

**mb1372** · 23-08-2011, 16:02

سلام.چند سوال در مورد امنيت پسورد داشتم

:
1- اگر پسوردي كه فقط توي فايل php ريختم(و ارتباطي با بانك اطلاعاتي نداره) رو هش نكنم چي ميشه؟
2- اگر سرور درست كار كنه امكان داره كد php رو كه نوشتم كسي بتونه بخونه؟اگه سرور از كار بيفته چي؟
3- هر چي سرچ كردم نتونستم توضيح كامل روش سالت كردن پسورد رو پيدا كنم.اگه ميشه آدرسشو بگين يا تو همين جا بذارين.

چطوري ميشه با روش سالت درستي پسورد رو تشخيص داد؟(آخه اين كه تصادفيه

)

**m.m.m5651** · 23-08-2011, 16:21

1) چیزی نمیشه، فقط کاربران می تونن با وارد کردن آدرس فایل، بازش کنن و محتواش رو بخونن

2) سرور از کار بیفته بستگی داره. مثلا من خودم بدون این که php رو نصب کنم، اومدم و فایلم رو باز باز کردم. تمام کد هاش رو ریخت بیرون!
3) شما باید در تابع crypt دومین پارامتر رو هم پر کنید. من خودم از تابع sha1 استفاده می کنم. تصادفی و رندوم هم نیست این جوری.

**mb1372** · 23-08-2011, 16:41

تشكر از جوابتون(دكمه تشكر ندارم هنوز!

يا هم پيداش نكردم!)
فقط يه چيزي:
اگه سرور كار كنه هم ميشه فايل رو باز كرد و خوند؟!اين جوري كه كار برنامه نويس بد بخت رو ميشه

(حتي اگ پسورد رو هم توش نذاريم بازم خيلي بده)
راستي يه سايتي پيدا شده بود sha1 رو ديكد مي كرد.نمي دونم درست بود يا نه؟روش ديگه اي نيست.
نميشه خودمون هش ش كنيم؟بعد اگه كرديم اين كد هش كردنو كجا بذاريم تا دست هكر بهش نرسه؟؟

**MaSoUd555** · 23-08-2011, 16:55

دوست عزیز

اول اینکه سوال اولتون گنگه!!!یعنی چی پسوردی که توی فایل هستش رو هش نکنید ؟ (اگه این پسورد برای ارتباط با بانک اطلاعاتیه که اصلا نباید هش بشه!!!)اما اگه دلیل دیگه ای داره چرا اینکارو کردید؟

در مورد سوال 2 هم بگم یعنی چی سرور از کار بیفته ؟

خب اگه از کار بیفته که تمامی فایل ها غیر قابل دسترسند

مورد دیگه اینکه فایل های PHP سمت سرور ترجمه مشند و به مرورگر فرستاده میشند اگه درست استفاده کنید هیچکی نمیتونه بخونتشون

در مورد سومی هم بگم شما میتونید یه الگوریتم برای خودتون بسازید مثلا 10 حرف اول پسورد هش شده رو جدا کنید و با یه عبارت از خودتون جمع کنید بعدش توی دیتابیس ذخیره کنید یا روش های دیگه(سرچ کنید حتما به مطالب زیادی برخورد میکنید)
اینم یه نمونه از سرچ

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد اینکه هش دیکد نمیشه ، این الگوریتم ها یک طرفه هستند و هیچ راهی برای برگردوندن واژه ی اصلی نیست مگر مقایسه

**mb1372** · 23-08-2011, 17:06

نوشته شده توسط MaSoUd555 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

دوست عزیز

اول اینکه سوال اولتون گنگه!!!یعنی چی پسوردی که توی فایل هستش رو هش نکنید ؟ (اگه این پسورد برای ارتباط با بانک اطلاعاتیه که اصلا نباید هش بشه!!!)اما اگه دلیل دیگه ای داره چرا اینکارو کردید؟

در مورد سوال 2 هم بگم یعنی چی سرور از کار بیفته ؟

خب اگه از کار بیفته که تمامی فایل ها غیر قابل دسترسند

مورد دیگه اینکه فایل های PHP سمت سرور ترجمه مشند و به مرورگر فرستاده میشند اگه درست استفاده کنید هیچکی نمیتونه بخونتشون

در مورد سومی هم بگم شما میتونید یه الگوریتم برای خودتون بسازید مثلا 10 حرف اول پسورد هش شده رو جدا کنید و با یه عبارت از خودتون جمع کنید بعدش توی دیتابیس ذخیره کنید یا روش های دیگه(سرچ کنید حتما به مطالب زیادی برخورد میکنید)
اینم یه نمونه از سرچ

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد اینکه هش دیکد نمیشه ، این الگوریتم ها یک طرفه هستند و هیچ راهی برای برگردوندن واژه ی اصلی نیست مگر مقایسه

1)مشخصه ديگه!يعني مي خام كه پسورد روبريزم توي خود صفحه اصلي php! نه اينكه توي يه بانك اطلاعاتي.دليلشم اينه كه نمي خام زياد زحمت بكشم هش كنمش! بعدشم اگه اين طور كه شما گفتي باشه يعني نشه فايل php رو خوند ديگه چه لزومي داره هش كنم؟
2)منظورم از سرور اجرا كننده phpرو سرور هست.اگه از كار بيفته باز هم نميشه فايل php رو دانلود كرد وخوند؟
3)خوب اگه فايل php قابل دسترسي نباشه خوبه.وگرنه اين كد رو تو كجا بذاريم.
***مگه نمي شه آدرس فايل php رو به دانلود ميجر بديم تا بگيره؟م كه يه بار امتحان كردم شد

**m.m.m5651** · 23-08-2011, 17:13

در مورد سوال دوم:
صفحه های پی اچ پی فقط به صورت خروجی هستن که مثلا فانکشن mysql_query یا mysql_connect توشون نیست! دقیقا همون فایلی که شما نوشتین نیست که! فقط به صورت خروجیه.
مثلا یه while loop دارین صد بار می نویسه سلام، سرور نمیاد کد while رو بده به مرورگر که! فقط 100 بار می نویسه سلام توی یه صفحه و توی سورس صفحه هم نوشته صد بار سلام!
متوجه شدین؟

**MaSoUd555** · 23-08-2011, 17:20

نوشته شده توسط mb1372 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

1)مشخصه ديگه!يعني مي خام كه پسورد روبريزم توي خود صفحه اصلي php! نه اينكه توي يه بانك اطلاعاتي.دليلشم اينه كه نمي خام زياد زحمت بكشم هش كنمش! بعدشم اگه اين طور كه شما گفتي باشه يعني نشه فايل php رو خوند ديگه چه لزومي داره هش كنم؟
2)منظورم از سرور اجرا كننده phpرو سرور هست.اگه از كار بيفته باز هم نميشه فايل php رو دانلود كرد وخوند؟
3)خوب اگه فايل php قابل دسترسي نباشه خوبه.وگرنه اين كد رو تو كجا بذاريم.
***مگه نمي شه آدرس فايل php رو به دانلود ميجر بديم تا بگيره؟م كه يه بار امتحان كردم شد

ببینید اطلاعات کاربران شما توی دیتابیس ذخیره میشه از جمله پسوردشون ، حالا فرض کنید یکی تونست به بانک اطلاعاتیتون دسترسی پیدا کنه!!!البته شاید بگید وقتی پیدا کنه هر کاری میتونه کنه، این درست، اما فرض کنید فقط دسترسی سلکت کردن اطلاعات از دیتابیس رو داره ،اونوقت چی؟ ه ک ر میتونه بیاد اطلاعات کاربر رو بخونه و به پسوردش دسترسی پیدا کنه ، حالا اگه پسورد هش باشه تیرش تقریبا خورده به سنگ

در مورد مشکل بعدی هم بگم میشه دسترسی به فولدر ها یا فایل های خاصی رو توسط وب سرور معین کرد ، مثلا اگه از وب سرور Apache استفاده کنید میتونید با استفاده از فایل htaccess دسترسی یک فایل رو فقط برای localhost بذارید

**mb1372** · 23-08-2011, 17:28

نوشته شده توسط avardeh [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در مورد سوال دوم:
صفحه های پی اچ پی فقط به صورت خروجی هستن که مثلا فانکشن mysql_query یا mysql_connect توشون نیست! دقیقا همون فایلی که شما نوشتین نیست که! فقط به صورت خروجیه.
مثلا یه while loop دارین صد بار می نویسه سلام، سرور نمیاد کد while رو بده به مرورگر که! فقط 100 بار می نویسه سلام توی یه صفحه و توی سورس صفحه هم نوشته صد بار سلام!
متوجه شدین؟

راستش اينو كه ميدونستم
منظورتون اينه كه وقتي آدرس رو به همراه *.php ميدي به دانلود منيجر ، مياد فايل رو باز مي كنه بعد به صورت فايل html ذخيره مي كنه؟

نوشته شده توسط MaSoUd555 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ببینید اطلاعات کاربران شما توی دیتابیس ذخیره میشه از جمله پسوردشون ، حالا فرض کنید یکی تونست به بانک اطلاعاتیتون دسترسی پیدا کنه!!!البته شاید بگید وقتی پیدا کنه هر کاری میتونه کنه، این درست، اما فرض کنید فقط دسترسی سلکت کردن اطلاعات از دیتابیس رو داره ،اونوقت چی؟ ه ک ر میتونه بیاد اطلاعات کاربر رو بخونه و به پسوردش دسترسی پیدا کنه ، حالا اگه پسورد هش باشه تیرش تقریبا خورده به سنگ

در مورد مشکل بعدی هم بگم میشه دسترسی به فولدر ها یا فایل های خاصی رو توسط وب سرور معین کرد ، مثلا اگه از وب سرور Apache استفاده کنید میتونید با استفاده از فایل htaccess دسترسی یک فایل رو فقط برای localhost بذارید

در اين مورد كه گفتم كاري به بانك الاعاتي ندارم.مي خام يه پسورد براي باز شدن صفحه بگذارم.اگر فايل php قابل دسترسي نباشه پسوردي كه براش تعريف شده قابل ديدن نيست و نيازي بههش كردن نمي باشد!درسته؟

**MaSoUd555** · 23-08-2011, 17:31

نوشته شده توسط mb1372 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در اين مورد كه گفتم كاري به بانك الاعاتي ندارم.مي خام يه پسورد براي باز شدن صفحه بگذارم.اگر فايل php قابل دسترسي نباشه پسوردي كه براش تعريف شده قابل ديدن نيست و نيازي بههش كردن نمي باشد!درسته؟

درسته........

**m.m.m5651** · 23-08-2011, 17:44

نوشته شده توسط mb1372 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

راستش اينو كه ميدونستم
منظورتون اينه كه وقتي آدرس رو به همراه *.php ميدي به دانلود منيجر ، مياد فايل رو باز مي كنه بعد به صورت فايل html ذخيره مي كنه؟

محتویات فایل html رو با پسوند php ذخیره می کنه.

نام تاپيک: سوال:امنيت پسورد در php

اختيارات تاپيک

سوال:امنيت پسورد در php

این کاربر از MaSoUd555 بخاطر این مطلب مفید تشکر کرده است

این کاربر از m.m.m5651 بخاطر این مطلب مفید تشکر کرده است

این کاربر از MaSoUd555 بخاطر این مطلب مفید تشکر کرده است

این کاربر از m.m.m5651 بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن