+ Rispondi
Pagina 1 di 2 1 2 UltimaUltima
Risultati da 1 a 10 su 13
  1. #1
    nic
    nic non è in linea
    Still Alive
    Iscritto dal
    22/09/2011
    Località
    Napoli
    Messaggi
    2,632

    [PHP] Gestione dati utente

    Buonasera gentaglia

    ma se io volessi conservare server-side (in modo privato e possibilmente sicuro ) determinate informazioni degli utenti come mi comporto?
    Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?

    In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"

    Consigli?
    My name is Legion, for we are many.

  2. #2

    Iscritto dal
    13/12/2011
    Località
    Salento!
    Messaggi
    6,858
    Quote Originariamente inviato da nic Visualizza il messaggio
    Buonasera gentaglia

    ma se io volessi conservare server-side (in modo privato e possibilmente sicuro ) determinate informazioni degli utenti come mi comporto?
    Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?

    In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"

    Consigli?
    [ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità [/ot]

    File salvati è pericoloso. Se bucano un sito che risiede nello stesso server, vengono a leggere direttamente i file xml (e dell'htaccess se ne sciaquano i cosiddetti).

    Piuttosto PHP: crypt - Manual , Portable PHP password hashing ("password encryption") framework

  3. #3
    nic
    nic non è in linea
    Still Alive
    Iscritto dal
    22/09/2011
    Località
    Napoli
    Messaggi
    2,632
    Quote Originariamente inviato da xam8re Visualizza il messaggio
    [ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità [/ot]
    ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo!

    Quote Originariamente inviato da xam8re Visualizza il messaggio
    File salvati è pericoloso. Se bucano un sito che risiede nello stesso server, vengono a leggere direttamente i file xml (e dell'htaccess se ne sciaquano i cosiddetti).

    Piuttosto PHP: crypt - Manual , Portable PHP password hashing ("password encryption") framework
    Che le password devono essere "hashate" mi sembrava il minimo
    Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
    Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea ) non possono essere disponibili al pubblico o ad altri utenti
    Ultima modifica: 17-06-2013 alle 10:06, di xam8re Motivo: scusa :D
    My name is Legion, for we are many.

  4. #4

    Iscritto dal
    14/07/2012
    Località
    Vicenza
    Messaggi
    222
    Perche vuoi tenere le informazioni su file .xml ? E' pericoloso sia per la sicurezza sia per le prestazioni (dovresti fare una stima di quanti utenti e quante volte accederanno ai loro dati. Prova ad immaginare che hai 1000 utenti. ti fai 1000 cartelle con N xml ?! e' follia! ) .
    Hai gia' un database mysql per le password. Sfrutta quello per mantenere tutte le informazioni no ?!

  5. #5

    Iscritto dal
    13/12/2011
    Località
    Salento!
    Messaggi
    6,858
    Quote Originariamente inviato da nic Visualizza il messaggio
    ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo!


    Che le password devono essere "hashate" mi sembrava il minimo
    Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
    Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea ) non possono essere disponibili al pubblico o ad altri utenti
    quello rimane nel discorso dell'hash
    E' il metodo che cambia.
    Sono informazioni che puoi salvare tranquillamente sul database.
    Anzi addirittura le puoi criptare con la password dell'utente (ma se l'utente perde la password son cazzi ) rendendo bucabile solo l'utente

    Quel che ti ho dato è uno strumento già pronto con esempi su come hashare le password e su come fare crypting.
    quindi hash password -> Utente loggato -> Prendi informazoni dal db su ciò che ti serve


    (merda avevo modificato il tuo messaggio e non quotato, scemo io)

  6. #6
    nic
    nic non è in linea
    Still Alive
    Iscritto dal
    22/09/2011
    Località
    Napoli
    Messaggi
    2,632
    quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?
    My name is Legion, for we are many.

  7. #7

    Iscritto dal
    13/12/2011
    Località
    Salento!
    Messaggi
    6,858
    Quote Originariamente inviato da nic Visualizza il messaggio
    quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?
    Puoi criptarle sul database

  8. #8
    nic
    nic non è in linea
    Still Alive
    Iscritto dal
    22/09/2011
    Località
    Napoli
    Messaggi
    2,632
    Quote Originariamente inviato da xam8re Visualizza il messaggio
    Puoi criptarle sul database
    E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave?


    Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?
    My name is Legion, for we are many.

  9. #9

    Iscritto dal
    13/12/2011
    Località
    Salento!
    Messaggi
    6,858
    Quote Originariamente inviato da nic Visualizza il messaggio
    E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave?


    Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?
    l'md5 ci vogliono 3 minuti, di cui 2,5 per prepararsi il caffè e 0,5 per tanarle

    md5 è un hash non un cript. Leggiti i due link

  10. #10
    nic
    nic non è in linea
    Still Alive
    Iscritto dal
    22/09/2011
    Località
    Napoli
    Messaggi
    2,632
    vabbè ho capito, ne riparliamo con calma più in là, verso luglio
    My name is Legion, for we are many.


 

Autorizzazioni

  • Non puoi iniziare nuove discussioni
  • Non puoi rispondere alle discussioni
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
Powered by vBulletin™ Version 4.1.5
Copyright © 2019 vBulletin Solutions, Inc. All rights reserved
SEO by vBSEO ©2011, Crawlability, Inc.
Fuso orario: UTC +1, sono le 06:02.