[PHP] Gestione dati utente

[nic]

Buonasera gentaglia

ma se io volessi conservare server-side (in modo privato e possibilmente sicuro ) determinate informazioni degli utenti come mi comporto?
Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?

In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"

Consigli?

[xam8re]

Buonasera gentaglia

ma se io volessi conservare server-side (in modo privato e possibilmente sicuro ) determinate informazioni degli utenti come mi comporto?
Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?

In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"

Consigli?

[ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità [/ot]

File salvati è pericoloso. Se bucano un sito che risiede nello stesso server, vengono a leggere direttamente i file xml (e dell'htaccess se ne sciaquano i cosiddetti).

Piuttosto PHP: crypt - Manual , Portable PHP password hashing ("password encryption") framework

[nic]

[ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità [/ot]

ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo!

File salvati è pericoloso. Se bucano un sito che risiede nello stesso server, vengono a leggere direttamente i file xml (e dell'htaccess se ne sciaquano i cosiddetti).

Piuttosto PHP: crypt - Manual , Portable PHP password hashing ("password encryption") framework

Che le password devono essere "hashate" mi sembrava il minimo
Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea ) non possono essere disponibili al pubblico o ad altri utenti

[IceTea Stk]

Perche vuoi tenere le informazioni su file .xml ? E' pericoloso sia per la sicurezza sia per le prestazioni (dovresti fare una stima di quanti utenti e quante volte accederanno ai loro dati. Prova ad immaginare che hai 1000 utenti. ti fai 1000 cartelle con N xml ?! e' follia! ) .
Hai gia' un database mysql per le password. Sfrutta quello per mantenere tutte le informazioni no ?!

[xam8re]

ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo!


Che le password devono essere "hashate" mi sembrava il minimo
Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea ) non possono essere disponibili al pubblico o ad altri utenti

quello rimane nel discorso dell'hash
E' il metodo che cambia.
Sono informazioni che puoi salvare tranquillamente sul database.
Anzi addirittura le puoi criptare con la password dell'utente (ma se l'utente perde la password son cazzi ) rendendo bucabile solo l'utente

Quel che ti ho dato è uno strumento già pronto con esempi su come hashare le password e su come fare crypting.
quindi hash password -> Utente loggato -> Prendi informazoni dal db su ciò che ti serve


(merda avevo modificato il tuo messaggio e non quotato, scemo io)

[nic]

quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?

[xam8re]

quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?

Puoi criptarle sul database

[nic]

Puoi criptarle sul database

E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave?


Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?

[xam8re]

E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave?


Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?

l'md5 ci vogliono 3 minuti, di cui 2,5 per prepararsi il caffè e 0,5 per tanarle

md5 è un hash non un cript. Leggiti i due link

[nic]

vabbè ho capito, ne riparliamo con calma più in là, verso luglio