PHP - Hasło w systemie logowania dla JEDNEGO administratora.

Question

Witam,

zastanawiam się czy jeżeli w kodzie php dotyczącym logowania użytkownika do "panelu sterowania" zostawie hasło nie zhashowane to czy taka aplikacja jest podatna na wyciagnięcie danych z niej? Chodzi mi tu o taki przykład, gdzie poprostu robie if ( $password === "bardzotrundehaslo) { *startowanie sesji i przenisienie* }, czy ktoś może z takiego kodu wyciągnąć to hasło?

(Oczywiście input będzie filtrowany).

Answer 1

Nie rozumiem jakim problemem jest zastosowanie hasha dla tego hasła?

Comments

Problemu nie ma tylko jest to pytanie które mnie trochę czasu męczy 

Answer 2

czy ktoś może z takiego kodu wyciągnąć to hasło?

Mając kod źródłowy? tak.

Zainteresuj się funkcją skrótu. (Haszowanie)

https://pl.wikipedia.org/wiki/Funkcja_skrótu

Answer 3

Jeżeli uda mu się włamać na twój serwer, uzyska ten plik i wiadome, że hasło będzie już miał.
Nie wiem jak to dokładnie działa, ale kilka razy miałem tak, że zapisując plik php odrazu na serwer i uruchamiam go w tym samym czasie - wywaliło mi kod PHP, jakby nie było ?> lub <?php.

Dlatego też powinno się hasła itp. dawać w oddzielnym pliku, którego sie prawie nie edytuje (np. config).

Comments

Dodatkowo można wprowadzić hasło w htaccess na dany plik.

Answer 4

Najlepiej to trzymać takie hasło  w bazie danych tak jak normalnego usera i przy wysyłaniu czegoś do bazy        "przefiltrować "łańcuch którzy wprowadził