seguranca na conexao com bd

[tamires 0]

ola!tenho uma conexao com o banco de dados bem simples, que funciona.so que eu gostaria de saber o que posso usar para proteger a senha do banco...estou pesquisando mas nao encontrei ainda nada muito certo...li sobre criptografar a senha em md5 e salvar ela em md5 no banco, tem como fazer isso? ou existem maneiras melhores?aguardo respostasgratatamires

[Tellys Castro 12]

bem eu uso assim:faço a criptografia de senha e usere pra chamar o arquivo de conexao de db, faço mediante validaçao de sessaotipo assimo sistema gera uma sessao pra cada acesso e por ela cada conexao de modo q so conecta mediante a sessao q um arquivo gera....ou seja depende d tres orientaçoesbem seguro!!!!

[tamires 0]

mas como você criptografa a senha e o user no banco?

[Tellys Castro 12]

criptografa antes

[Fabyo 66]

use MD5 e pode criptografar via PHP ou banco de dados(Mysql) ambos tem a mesma função

[tamires 0]

entendi...como eu faria isso no mysql? no php eu sei, mas nao no mysql.

[Tellys Castro 12]

olha, tenta fazer como te disse, trata antes q ai a segurança e total, pq no caso do Tiago ai da, mas ainda sobra tempo pra fazer alguma comparaçao pq a senha chega na integra ate o comando da consulta, no meu caso ela vai tratada, ai anao da pra desfazer a critografia

[Tellys Castro 12]

coloque na pagina index

 

$_SESSION['senha'] = rand(0, 10000000);require_once('functions.ini.php');__senha();

----

 

crie o padrao.php

 

<?php$hostname_padrao = md5("localhost");$database_padrao = md5("nome");$username_padrao = "md5("user")";$password_padrao = "md5("pass")";$padrao = mysql_pconnect($hostname_padrao, $username_padrao, $password_padrao) or die(mysql_error());?>

crie o functions.inc.php

 

<?php function __senha(){if isset($_SESSION['senha']);require_once('padrao.php');}?>

bem fiz na unha qui, ate nem testei mas e por ai

 

perceba q so se chama a conexao se ouver uma var de sessao setada ..

[Fabyo 66]

Nada haver criptografar servidor, usuario e banco de dados

 

criptografe apenas a senha

[Tellys Castro 12]

é vero, foi falah mesmo ai em, vlw fabio... mas e que fazendo 1000 coisas ao mesmo tempo

[tamires 0]

bom...vou testar tudo isso aqui! entendi como fazer...mas restou uma duvida...se eu colocar no arquivo assim:$password_padrao = "md5("pass")";não é perigoso alguém conseguir pegar esse arquivo da conexão e conseguir a senha, para acessar o banco?e outra coisa...pra criptografar no mysql, dessa forma q o tmferreira me deu o exemplo...so quando eu der um "select" da pra fazer? ai o campo vem criptografado? pq no caso quero criptografar a senha do banco e não um dos dados q vem dele!

[Fabyo 66]

nao tem como pegar o arquivo php, só se ele saber sua senha do FTP do site

[tamires 0]

certo...o problema eh se conseguirem a senha mas isso ja sao outros 500...mt obrigada pela ajuda!

[::..Hunter..:: 1]

tenho que discordar, dá pra pegar a página php. Ex: um script como este se não for tratado o que vai enviar dá:www.meusite.com.br/downloads/index.php?arquivo=qualquercoisa.zipSe o cara substituir o qualquercoisa.zip pela página index.php mais um código de comparação ele consegue fazer download da página.Sei disto porque sofri na pele este ataque, repeti o código dele e realmente baixou a página.Agora não esqueço de tratar tudo que venha por GET ou POST. <_<

[Tellys Castro 12]

cara mas o lance e essse mesmo, você coloca no index a funçao q so faz a inclusao mediante uma var de sessao setada e comparada!!! ele pod chamar a vontade os comandos q você ta falando ai, apesar d eu nunca ter visto isso

[Fabyo 66]

Nao tem nada haver quando eu disse que nao da para fazer o download da pagina PHP, é porque to falando do codigo php

<?php

?>

 

se voce tentar baixar qualquer pagina php voce vai baixar só o resultado HTMl da pagina

 

se voce conseguir baixar é porque o servidor esta mal configurado.

[tamires 0]

tipo assim...se a minha pagina estiver hospedada c certificado de seguranca (https), seria mais dificil de esse ataque que o hunter mencionou acontecer?

[Fabyo 66]

Veja que seu titulo do topico era sobre duvidas de senha e segurança

ja foi esclarecido que para proteger a senha basta criptografar com MD5

 

agora esse assunto de pegar codigo fonte é outra coisa, nao to dizendo que é impossivel um hacker entrar num servidor e invadir, isso pode acontecer mas é muito raro, imagina se fosse facil ninguem poderia mais hospedar nenhum site, seu codigo php esta seguro e ninguem vai conseguir pegar ele, se um hacker invadir o servidor pra que ele vai querer os scripts com senha?, ele ja vai ter acesso ao db, esqueça essa paranoia que nao tem nada haver

 

faça seu sistema bem feito, com senha md5 e nao esquenta a cabeça

 

obs: se o sistema for mal feito ai nao é culpa de segurança do php e sim culpa do programador.

[::..Hunter..:: 1]

Fabyo, vejo que você entende bastante de segurança, me diga qual o procedimento que você faria para proteger um script de download de arquivos como este:

 

<?phpinclude("classes.php");chdir($_SERVER[DOCUMENT_ROOT]."/downloads"); // entrar no diretório público$arquivo = anti_injection($_GET["arquivo"]); // aqui retirar codigos php que venham pelo get$teste = explode(".",$arquivo);if (!is_file($arquivo) || ($teste[1] != "zip") || (substr($arquivo,0,1) == "%") || (substr($arquivo,0,1) == ".") || (substr($arquivo,0,1) == "/")) { // se o arquivo não é arquivo ...	echo "Erro: arquivo $arquivo não encontrado !";	exit; // ... aborte o programa}$tamanho = filesize($arquivo); // pega o tamanho do arquivo em bytes// enviar os cabeçalhos HTTP para o browserheader("Content-Type: application/save");header("Content-Length: $tamanho");header("Content-Disposition: attachment; filename=$arquivo");header("Content-Transfer-Encoding: binary");// abrir e enviar o arquivo$fp = fopen("$arquivo", "r");fpassthru($fp);fclose($fp);?>

Que tal criar um tópico fixo só com exemplos de segurança nos scripts? Isso seria de grande valia para todos. ;)

[Fabyo 66]

Estamos desenvolvendo varios tutoriais que borda varios assuntos importantes, em breve iremos postar eles