Buonasera gentaglia
ma se io volessi conservare server-side (in modo privato e possibilmente sicuro) determinate informazioni degli utenti come mi comporto?
Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?
In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"
Consigli?
+ Rispondi
Risultati da 1 a 10 su 13
Discussione: [PHP] Gestione dati utente
-
16-06-2013 20:42 #1Still Alive
- Iscritto dal
- 22/09/2011
- Località
- Napoli
- Messaggi
- 2,632
[PHP] Gestione dati utente
My name is Legion, for we are many.
-
17-06-2013 07:25 #2
- Iscritto dal
- 13/12/2011
- Località
- Salento!
- Messaggi
- 6,863
[ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità
Originariamente inviato da nic
Buonasera gentaglia
ma se io volessi conservare server-side (in modo privato e possibilmente sicuro) determinate informazioni degli utenti come mi comporto?
Sessione php con autenticazione dell'utente tramite confronto dell'hash della password in un database mysql + cartella protetta con .htaccess con dentro tanti .xml per quanti utenti ci saranno mai?
In linea teorica penso che funzioni, ma mi sembra eccessivamente "macchinoso"
Consigli?
[/ot]
File salvati è pericoloso. Se bucano un sito che risiede nello stesso server, vengono a leggere direttamente i file xml (e dell'htaccess se ne sciaquano i cosiddetti).
Piuttosto PHP: crypt - Manual , Portable PHP password hashing ("password encryption") framework
-
17-06-2013 08:52 #3Still Alive
- Iscritto dal
- 22/09/2011
- Località
- Napoli
- Messaggi
- 2,632
ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo! Originariamente inviato da xam8re
[ot] nic scusami tanto se non sto portando avanti progetto osd ma a lavoro sono incasinatissimo, ne và della continuità [/ot]
Che le password devono essere "hashate" mi sembrava il minimo Originariamente inviato da xam8re
Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea) non possono essere disponibili al pubblico o ad altri utenti 
Ultima modifica: 17-06-2013 alle 09:06, di xam8re Motivo: scusa :D
My name is Legion, for we are many.
-
17-06-2013 09:04 #4
- Iscritto dal
- 14/07/2012
- Località
- Vicenza
- Messaggi
- 222
Perche vuoi tenere le informazioni su file .xml ? E' pericoloso sia per la sicurezza sia per le prestazioni (dovresti fare una stima di quanti utenti e quante volte accederanno ai loro dati. Prova ad immaginare che hai 1000 utenti. ti fai 1000 cartelle con N xml ?! e' follia! ) .
Hai gia' un database mysql per le password. Sfrutta quello per mantenere tutte le informazioni no ?!
-
17-06-2013 09:06 #5
- Iscritto dal
- 13/12/2011
- Località
- Salento!
- Messaggi
- 6,863
quello rimane nel discorso dell'hash Originariamente inviato da nic
ma figurati, anche io sotto esame di maturità non è che abbia tutto questo tempo!
Che le password devono essere "hashate" mi sembrava il minimo
Le informazioni che devo conservare sono, per semplificare, un numero e la data in cui l'utente le submitta
Ora, a questo utente le sue informazioni devono sempre essere disponibili quando logga, ed essendo riservate (non che caschi il mondo se qualcun'altro le viene a sapere, ma non mi piace l'idea) non possono essere disponibili al pubblico o ad altri utenti
E' il metodo che cambia.
Sono informazioni che puoi salvare tranquillamente sul database.
Anzi addirittura le puoi criptare con la password dell'utente (ma se l'utente perde la password son cazzi ) rendendo bucabile solo l'utente
Quel che ti ho dato è uno strumento già pronto con esempi su come hashare le password e su come fare crypting.
quindi hash password -> Utente loggato -> Prendi informazoni dal db su ciò che ti serve
(merda avevo modificato il tuo messaggio e non quotato, scemo io)
-
17-06-2013 09:35 #6Still Alive
- Iscritto dal
- 22/09/2011
- Località
- Napoli
- Messaggi
- 2,632
quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?
My name is Legion, for we are many.
-
17-06-2013 09:39 #7
- Iscritto dal
- 13/12/2011
- Località
- Salento!
- Messaggi
- 6,863
Puoi criptarle sul database Originariamente inviato da nic
quindi mi state dicendo di conservare in chiaro le informazioni nello stesso db dove sono conservati gli hash?
-
17-06-2013 09:59 #8Still Alive
- Iscritto dal
- 22/09/2011
- Località
- Napoli
- Messaggi
- 2,632
E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave? Originariamente inviato da xam8re
Puoi criptarle sul database
Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?
My name is Legion, for we are many.
-
17-06-2013 10:01 #9
- Iscritto dal
- 13/12/2011
- Località
- Salento!
- Messaggi
- 6,863
l'md5 ci vogliono 3 minuti, di cui 2,5 per prepararsi il caffè e 0,5 per tanarle Originariamente inviato da nic
E visto che la password può, come hai fatto giustamente notare, essere cambiata, cosa uso come chiave?
Poi, l'md5 è ancora sicuro per le password? Dovrei usare un po' di salt? Se sì, univoco per ogni utente? Lo conservo sempre nello stesso db?
md5 è un hash non un cript. Leggiti i due link
-
17-06-2013 18:17 #10Still Alive
- Iscritto dal
- 22/09/2011
- Località
- Napoli
- Messaggi
- 2,632
vabbè ho capito, ne riparliamo con calma più in là, verso luglio
My name is Legion, for we are many.
Rispondi quotando
Autorizzazioni
- Non puoi iniziare nuove discussioni
- Non puoi rispondere alle discussioni
- Non puoi inserire allegati
- Non puoi modificare i tuoi messaggi