PHP - Hasło w systemie logowania dla JEDNEGO administratora.

pytanie zadane 1 grudnia 2015 w PHP przez migacz100 Mądrala (5,410 p.)

Witam,

zastanawiam się czy jeżeli w kodzie php dotyczącym logowania użytkownika do "panelu sterowania" zostawie hasło nie zhashowane to czy taka aplikacja jest podatna na wyciagnięcie danych z niej? Chodzi mi tu o taki przykład, gdzie poprostu robie if ( $password === "bardzotrundehaslo) { *startowanie sesji i przenisienie* }, czy ktoś może z takiego kodu wyciągnąć to hasło?

(Oczywiście input będzie filtrowany).

4 odpowiedzi

odpowiedź 1 grudnia 2015 przez event15 Szeryf (93,790 p.)

Nie rozumiem jakim problemem jest zastosowanie hasha dla tego hasła?

komentarz 1 grudnia 2015 przez migacz100 Mądrala (5,410 p.)

Problemu nie ma tylko jest to pytanie które mnie trochę czasu męczy

odpowiedź 1 grudnia 2015 przez Dorion300 Szeryf (90,250 p.)

odpowiedź 1 grudnia 2015 przez Szymon Lisowiec Mądrala (7,150 p.)

Jeżeli uda mu się włamać na twój serwer, uzyska ten plik i wiadome, że hasło będzie już miał.
Nie wiem jak to dokładnie działa, ale kilka razy miałem tak, że zapisując plik php odrazu na serwer i uruchamiam go w tym samym czasie - wywaliło mi kod PHP, jakby nie było ?> lub <?php.

Dlatego też powinno się hasła itp. dawać w oddzielnym pliku, którego sie prawie nie edytuje (np. config).