כאשר אני מכניס נתונים לתוך DB אני מכניס אותם כמלל רגיל
או שאני מצפין אותם בפונקציה דו כיוונית
וכל פעם שמשתמש צריך את הנתונים
המערכת מפענחת אותם ומדפיס על המסך.

השאלה היא איך אתם עושים את זה
ומה נכון לעשות
תודה

בהמשך לשאלה שלי
האם זה נכון לייצר לכל משתמש שנרשם במערכת טבלת קידוד
שבטבלה יש לכל יוזר קוד אישי
שנרשם ב רישם על ידי פונקציית

קוד PHP:

 mktime(); 


ולכל מידע שנרשם במערכת מצורף הקוד שנוצר לך בזמן הרישום
לצוך העניין נגיד שמשהו קיבל

קוד PHP:

 $session['code'] == 123456789 


על מנת לפענח מידע צריך

קוד PHP:

 $text = beas64_decode($_session['code'].row['firstname']); 


וכך אם נוצר בילבול ב

קוד PHP:

 $session['userid']; 


שזה המצביע של כל יוזר בכל הטבלאות

המידע לא יוחזר נכון.

base64 זה בסיס.
כמו שיש בסיס עשרוני שהוא מ0 עד 9. או בסיס 2 שזה 0 ו1.
זה בסיס 64, שזה מ0 ועד... תחשב לבד... איך בדיוק זו הצפנה?

אתה יכול להשתמש באלגוריתמים של הצפנה למינהם, שמשתמשים במפתחות.
במקרה הזה תצטרך לשמור מאגר של מפתחות לפיתחת ההצפנה וגם אז הפורץ יכול לשים את ידיו על המאגר.
אתה יכול אומנם להשתמש בסיסמה של המשתמש בשביל ההצפנה, אבל אז אי אפשר לשחזר את המידע אם המשתמש שכח את הסיסמה שלו - ואני גם לא רואה איך אפשר לשמור את ה Session של היוזר עם הצפנה כזו.

בכל מקרה, בקשר לשרשור - פשוט תשמור על השרת שלך.

אם ההצפנה היא דו כיוונית, היא חסרת משמעות. כמו שהאפליקציה יכולה לגשת למידע שלך, גם הפורץ יוכל.

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז מה שאתה אומר
שמצפינים רק את הסיסמה ב MD5

וכל השאר משאירים רגיל??

הכל שאלה במה היא המטרה שלך...

כמו שאמר GreenBerret - למעט על ידי זה שהסיסמא לא תהיה כתובה בשום מקום (למשל - סיסמת משתמש) - ואז גם למשתמש אסור לשכוח אותה, כל דבר אחר יהיה פריץ בכל מקרה. כמובן שגם במקרה של המשתמש, מרגע שנפרץ השרת, זו לא בעייה בשביל הפורץ לדאוג לשמור בצד את כל הסיסמאות שגולשים מכניסים, ולאט לאט לקבל גישה אל כל המידע.

בלי קשר לכל זה, מה בדיוק אתה כל כך צריך הצפנה? מה אתה מאחסן? מספרי כרטיסי אשראי? אם כן - למה? אני לא מצליח לחשוב על שום דבר חיובי שיכול לנבוע משמירה של דבר כזה.

אם זה עניין של נתונים אישיים - אתה גם מנהל את כל התקשורת מול הלקוח ב HTTPS? כי אם לא, אין שום צורך בלהגיע למידע שבשרת שלך אם אפשר להאזין לו בדרך מהשרת למשתמש ולהפך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא,
אני פשוט רוצה לדעת מה נכון לעשות.

ואיך עושים את זה באתרים גדולים.

אבל אתה לא בונה אתר גדול...

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי
אני לא יודע אם אתה ציני עכשיו
אבל אני בונה כרגע פרוטוטייפ למערכת מאוד יחודית
כמובן שאני לא יודע לעשות את הכל,
יש לי ידע של 10% מהידע שמכנת צריך כדי לבנות את ההמערכת.
זאת הסיבה שפניתי אליך.
אני ממש לא שואף לבנות את המערכת, אני רוצה רק להציג מערכת שמשקפת את הרעיון הכללי.

לא הייתי ציני - אני חושב שאתה צריך לדעת קצת יותר לפני שתבנה מערכת גדולה... עם 10% מידע שצריך, לא הולכים להרים משהו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

כמו שרשמתי
אני ממש לא רוצה להרים
אני רוצה לתת את הרעיון
יש אנשים אחרים שיבנו את המערכת.

עם רעיון טוב בא הכסף ואז הפיילוט ואז החברה

כל מה שצריך זה רעיון טוב

רעיון זה רעיון, ומימוש זה מימוש

תן למתכנתים לממש...

נמאס לכם לזכור סיסמאות? לחצו כאן!

צריך לממש פרוטוטייפ, לא?!?!?

תאמין לי להשיג כסף לפטנט זה הרבה יותר קשה ממה שחושבים...

הם רוצים משהו בסיסי עובד...

ודבר שני כבר יש לי משהו עובד... ועובד סבבה...

כל השאלות שלי זה ליעילות ושיכתוב נכון...

זה שרשמתי 10% זאת הקצנה

David Heinemeier Hansson at Startup School 08

תבלה.

ציטוט:

... אתרים גדולים ...

אתר גדול בהכרח לא מעיד על אבטחה, ביחוד לא בישראל.

אתה לא צריך לשאול מה פלוני עושה, אלא לבנות פתרון בהתאם לצרכיך.
וממה שהבנו, אתה צריך להצפין את הסיסמה באמצעות אלגוריתם "פשוט" כגון md5, ולהמנע מחורי אבטחה בקוד (בעיקר הזרקות על סוגיו השונים), כמובן שאם השרת עצמו לא מאובטח כראוי, זה לא ימנע פריצה למרות שהאתר שלך מוגן.

תודה