עשיתי הגנה ב HTACCESS
עכשיו אני רוצה עוד שכבת הגנה, מה יותר מאובטח? לשים הגנה שתקרא מהDATABASE
(למשל select * from admin where user=bla and pass=bla)
או לשים בקובץ עצמו?
למשל
if ($user=bla && $pass=bla) ...

תודה.

ציטוט:

במקור נכתב על ידי talphp עשיתי הגנה ב HTACCESS עכשיו אני רוצה עוד שכבת הגנה, מה יותר מאובטח? לשים הגנה שתקרא מהDATABASE (למשל select * from admin where '$_POST[admin]'=bla and '$_POST[pass]'=bla) או לשים בקובץ עצמו? למשל if ($_POST[admin]=bla && $_POST[pass]=bla) ... תודה.

תיקנתי טיפה את השאלה שלך...
ובהחלט השני ימנע לך sql injection
אבל הכל בעקרון תלוי אם יש לך מערכת גדולה אתה צריך להשתמש במסדי נתונים, תוכל למנוע הזרקות של מסדי נתונים באמצעות כל מני פונקיות מובנות של php

-פעם היה מעט מידע ובאיכות, היום יש המון מידע ובשיטחיות.

אם כבר אתה מתקן - תקן כמו שצריך

קוד PHP:

<?
mysql_query("SELECT * FROM `users` WHERE `username`='".mysql_real_escape_string($_POST['username'])."' AND `username`='".mysql_real_escape_string(md5($_POST['password'])));
?>

הקוד הנ"ל לא אמור לעשות בעיות, גם בכל מה שקשור ל sql injections.
תמיד מומלץ להשתמש ב mysql_real_escape_string() כאשר יש סיכוי קלוש אפילו שמשתמשים חיצויינים יוכלו לשנות את הטקסט בתוך המשתנה.

לגבי אבטחה, מומלץ קודם כל להשתמש בסיסמאות מוצפנות עם MD5 או כל פונקציה אחרת שמצפינה באופן חד כיווני טקסט כלשהו, בין אם זה בקובץ (אל תשמור את הסיסמא באופן גלוי, תצפין ותשמור את הטקסט שהתקבל לאחר ההצפנה), ובין אם זה בDB.

“The man of wisdom is never in two minds about right and wrong;
the man of benevolence never worries about the future;
the man of courage is never afraid.”
~ Confucius

כשזה מיותר זה סתם בזבוז משאבים.
לדוגמה, אתה מנסה להבריח את התווים במחרוזת שמתקבלת מהפונקציה md5. הפונקציה md5 לא יכולה להחזיר תווים שצריך להבריח אותם, כך שהקריאה לפונקציה שתסרוק את התווים ותבריח אותם בהתאם ממש מיותרת וסתם גוזלת משאבים (גם אם מדובר במשאבים מועטים).

אני חושב שבדף עצמו יותר מאובטח כי למסד יש דרכי פריצה לדף פחות.

לא עקרוני, היום כל אתר עובד אם דטה בייס ולשניהם יש סיכוי פריצה בהחלט שווים.
אבל אם אתה מתעקש צור קובץ config ותריץ שם במשתנים את כל המתמשים באתר שלך
ותעשה לו include לדף

אבל אם ה'מסד נתונים' שהוא יוצר יהיה ענק מידי אז תהיה בעיה של מהירות.
וכדי לפתור את בעיית המהירות הוא ממש יצטרך לבנות מחלקה מלאה בפונקציות שיהוו תחליף למסד נתונים...
בשביל מה להתאמץ? =|
בכל מקרה זה פריץ בצורה כלשהי...

התבלבלתי ...

התכוונתי שיהוו תחליף לפונקציות MySQL =|

כי במקום לטעון את כל ה'טבלאות' ב'מסד הנתונים' ישר כשהאתר עולה בכל פעם הוא יוכל לטעון רק את הטבלאות הרצויות...

בעצם זה לא ממש יפתור את בעיית המהירות כי הוא פשוט יכול לטעון את ה'טבלאות' שיצטרך בעמודים מסויימים ... אז שכחו מזה =\