Bir PHP dosyasını Secure

4 Cevap php

Ben temelde tüm kullanıcılara bana şifreleri vermek yapılmış bir PHP dosyası var. Ben içeriğini görüntülemek ve sayfasını görmek mümkün tek olmak istiyorum. Nedir en iyi şekilde yapıyor?

Şifre koruması? Sadece sahip özel bir tanımlama gerektiren?

Bana bazı fikirler verebilir ..

4 Cevap

Eğer bir tarayıcı üzerinden görmek mümkün olmasını istiyorsanız, bu deneyin:

Temelde tarayıcı bir kullanıcı adı ve parola için sizden hangi WWW Temel Kimlik içine bak.

http://www.htaccesstools.com/htaccess-authentication/
http://eregie.premier-ministre.gouv.fr/manual/howto/auth.html

Eğer statik bir IP adresi varsa, size sadece IP adresi sayfasını görebilirsiniz emin olabilir:

if($_SERVER['REMOTE_ADDR'] != '192.168.1.1')
{
      die();
}

Bir tarayıcı tarafından görülebilir varsayalım değilse, İYİ Çözüm DocumentRoot yukarıdaki dosyayı koymak olacaktır. AKA:

Index.php dosya / Yol varsa / için / Kök / public_html / Root / in / Yol dosyayı koymak

Ben şifreleri depolamak durdurmak ve yerine şifre karmasını depolamak tavsiye ederim. Hatta gerçekten kullanıcıların şifrelerini bilmeniz gerekir.

Ne yaptığınızı bile doğrulama veya yetkilendirme değildir. En iyi ihtimalle bu tanımlama var. Eğer cehennem-bent-için-deri Chacha102 ne dedi, bunu yaparken konum, artı eğer siz de chgrp isteyeceksiniz ve internet kullanıcı ve kullanıcı sadece görüntülemek böylece onu chmodlayın.

Veritabanında onları karma, düz metin olarak kullanıcıların şifreleri saklamak yok.

Ben bir kullanıcı olarak oturum işlevselliğini gerek varsayarak olduğum için, herhangi bir kullanıcı olarak giriş (istediğiniz ancak bu tanıyabilirsiniz) Yönetici hesapları sağlayan bir komut dosyası oluşturma öneririm.

Eğer wwwroot altında bir yerde tüm veri depolama ediyorsanız, o zaman güvenlik açığından kötü konfigürasyonu ile olsun, dosyanın indirilmesini risk. Bu çözüm şifre rotasyon daha zor hale getirir kullanıcı ve şifreler sabit kodlama içerir olması da mümkündür. Kullanıcıların dosyadaki değerleri değiştirebilirsiniz ve eğer, onlar şifre dosyası içine PHP kodu enjekte edemez, ya da uygulama üzerinden almak mümkün olacak son derece dikkatli olmak lazım. Ve cleartext şifreleri görmek için bir yönetici yeteneği kötü bir uygulama olarak kabul edilir, ve kaçınılmalıdır.

Modern iyi uygulama mümkünse, bunu bu şekilde yapmak değil etmektir. Web sunucusu normalde (örneğin dışında wwwroot gibi veya SQL enjeksiyon sorunlarına karşı korunmuş ettik veritabanında) doğrudan indirme, bir kimlik doğrulama ve yetkilendirme düzeni uygulamak, ve bu düzeni dayanmaz izin vermez yerden bir yere veri depolamak ne yapmak için izin kimin kontrol.

Daha fazla bilgi almak için www.owasp.org check out - bu harika bir başlangıç ​​noktası.

etiketler