הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   [PHP] לאבטח אתר (https://hosts.co.il/forums/showthread.php?t=23774)

Elad-A 11-06-06 12:31
[PHP] לאבטח אתר
 
מישהו יכול לתת לי עצות איך לשפר את אבטחת האתר מכל מיני מזיקים והזרקות למינהם?
או להביא מדריכים הקשורים בנושא.
תודה, אלעד.

Tomer 11-06-06 12:33
הזרקות SQL, אני יכול להמליץ:
PHP קוד:
$var $_GET['var'];
$var mysql_escape_string($var); 
זה ימנע בד"כ הזרקות SQL

Elad-A 11-06-06 12:35
תודה אחי, עוד דרכים?

sUP 11-06-06 13:25
helpspecialchars הופך נגיד < ל &lg משו כזה חח..

adiga000 11-06-06 13:29
הצפנת דברים שמוצאים בSQL וכו'..
MD5
SHA1
CRC32 (אם אני לא טועה בשם)

Dan Zelniker 11-06-06 13:56
להצפנת מידע את יכול לשלב את הפונקציה md5 בדרך כלל אני אישית עושה רק md5 אבל יש אפשרות לשלב את md5 עם עוד הצפנות יחד.

Distortion 11-06-06 14:59
מדריך מעולה הכולל הסבר על שיטת הפריצה הנ"ל, ובנוסף מסביר כיצד להגן על אתרך.

(שירשור לא נכון :\)

Elad-A 11-06-06 15:01
תודה לכולכם, השתמשתי בחלק מהדברים שהביאו פה והם באמת עזרו לי. למי שיש עוד הצעות / רעיונות כיצד לאבטח שירשום פה. תודה.

-roee- 11-06-06 16:59
אתה תמיד יכול לבנות הצפנה משלך..

מה זאת אומרת?
קומבינציות של MD5 עם base64_encode וכו..

-VladK- 11-06-06 17:36
ציטוט:
נכתב במקור על ידי bigsmoke
אתה תמיד יכול לבנות הצפנה משלך..

מה זאת אומרת?
קומבינציות של MD5 עם base64_encode וכו..
אפשר לבנות הצפנה אישית כלומר אתה מגדיר אותה....לדוגמה אם יש לי את הטקסט:
"אני ילד משועמם!"
זה יוחלף ב-DF4H2HD9K1MJF9SF95UHHEY6L44NH2
אגב כל שתי אותיות פה זה אות אחת...כלומא לדוגמה הצירוף DF זו האות א' והצירוף 44 זה ע....
סתם דוגמה...ככה זה יעיל במקרה שרוצים לעשות איזכור סיסמה אבל זה לא הכי מאובטח שבעולם כי מי שמכיר את ההצפנה הזאתי כלומר יודע במה כל אות מוחלפת עלול לגלות וזה אבל אם להצפין את ההצפנה זו תהיה הצפנה הכי מבאובטח שיש :D

Dan Zelniker 11-06-06 18:12
אם אני לא טועה יש ל base64_encode פונקציה הפוכה.
בגלל זה עדיף לשלב בין SHA1 לבין MD5 כמו שאני נוהג לעשות.

eLad 11-06-06 18:15
ציטוט:
נכתב במקור על ידי Dan Zelniker
אם אני לא טועה יש ל base64_encode פונקציה הפוכה.
בגלל זה עדיף לשלב בין SHA1 לבין MD5 כמו שאני נוהג לעשות.
מה זה עוזר לך שאתה שם הצפנה על הצפנה על הצפנה? זה לא הופך את זה למאובטח יותר זה סתם גוזל לך משאבים.

Dan Zelniker 11-06-06 18:20
כי פשוט פעם ( כיום אני יודע שזה לא אפשרי ) שבגירסאות הישנות של PHP היה אפשר לפרוץ MD5.
ולכן מאז אני כבר רגיל לשלב בין שניהן.

ובחיים לא שמעתי שזה גוזל משאבים.

נ.ב :
זה הצפנה על הצפנה.
לא הצפנה על הצפנה על הצפנה.

Elad-A 11-06-06 18:24
כיצד אפשר לשלב בין MD5 ל SHA1 ?

Dan Zelniker 11-06-06 18:34
פשוט מאוד!!
אני רושם באנגלית כי זה רושם הפוך.
PHP קוד:

$pass="yourpassword"//Your password.
$crypt=sha1($pass); // The first crypt of tha password with SHA1.
$lastcrypt md5($crypt); This function crypt the SHA1 code to MD5 code so its convert this to SHA1 with MD5
תהנה:).

Elad-A 11-06-06 18:37
אה תודה רבה.

Big Master 11-06-06 18:38
ציטוט:
נכתב במקור על ידי Dan Zelniker
כי פשוט פעם ( כיום אני יודע שזה לא אפשרי ) שבגירסאות הישנות של PHP היה אפשר לפרוץ MD5.
ולכן מאז אני כבר רגיל לשלב בין שניהן.

ובחיים לא שמעתי שזה גוזל משאבים.

נ.ב :
זה הצפנה על הצפנה.
לא הצפנה על הצפנה על הצפנה.
מה טוב בהצפנה על הצפנה?
מי שמכיר אותן (ומכירים) יוכל לגלות בקלות את החומר המוצפן.

אם כבר עדיף לכתוב הצפנות משלך (בפונקציות), שעליהם רק לכותב הקוד יש גישה ומידע עליהם.

Dan Zelniker 11-06-06 18:40
ציטוט:
נכתב במקור על ידי Big Master
מה טוב בהצפנה על הצפנה?
מי שמכיר אותן (ומכירים) יוכל לגלות בקלות את החומר המוצפן.

אם כבר עדיף לכתוב הצפנות משלך (בפונקציות), שעליהם רק לכותב הקוד יש גישה ומידע עליהם.
אז זהו שבגלל זה טוב 2 הצפנות.
אם נגיד מישהו מכיר אותן אז פתירה של ההצפנה תצא לו ההצפנה השניה.
שאני בספק אם מישהו מכיר את שניהן.

eLad 11-06-06 19:04
ציטוט:
נכתב במקור על ידי Dan Zelniker
ובחיים לא שמעתי שזה גוזל משאבים.
לא צריך לקרוא על כל דבר כדי להיווכח שהוא נכון. תחשוב רגע בעצמך:
כדי להצפין את המחרוזת elad אתה צריך לעשות פעולות מתמטיות מסויימות (אתה יודע, לוקח זמן לעשות את זה). כשאתה מפעיל עוד הצפנה על מחרוזת מוצפנת גם עליה צריך לעשות פעולות מתמטיות מסויימות וגם זה לוקח זמן.

ציטוט:
נכתב במקור על ידי Dan Zelniker
נ.ב :
זה הצפנה על הצפנה.
לא הצפנה על הצפנה על הצפנה.
WOW

אל תהיה קטנוני

Dan Zelniker 11-06-06 19:08
ציטוט:
נכתב במקור על ידי eLad
לא צריך לקרוא על כל דבר כדי להיווכח שהוא נכון. תחשוב רגע בעצמך:
כדי להצפין את המחרוזת elad אתה צריך לעשות פעולות מתמטיות מסויימות (אתה יודע, לוקח זמן לעשות את זה). כשאתה מפעיל עוד הצפנה על מחרוזת מוצפנת גם עליה צריך לעשות פעולות מתמטיות מסויימות וגם זה לוקח זמן.



WOW

אל תהיה קטנוני
זה היה בצחוק.
זה היה ברור שזה לוקח משאבים אבל לא חשבתי שהם גדולים..

Big Master 11-06-06 19:20
ציטוט:
נכתב במקור על ידי Dan Zelniker
אז זהו שבגלל זה טוב 2 הצפנות.
אם נגיד מישהו מכיר אותן אז פתירה של ההצפנה תצא לו ההצפנה השניה.
שאני בספק אם מישהו מכיר את שניהן.
את MD5 ו- SHA1, עובדה שהמתכנתים פה מכירים,
ובגילוי סדר הצפנות שביצעת לא יהיה קשה לגלות, כי אחרי הכל יש רק 2 צירופים אפשריים.


כל הזמנים הם GMT +2. הזמן כעת הוא 18:18.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ