• User Attivo

    Sicurezza, php-mysql-htaccess e cms vari

    Ciao a tutti.
    Il mio dilemma: qual'è il sistema migliore per creare un'area riservata/sistema di back end per un sito?

    Smanetto quotidianamente con php/mysql ma finora non ho mai affrontato il problema (ed è ora di farlo).

    Ho finora usato joomla e wordpress che hanno un loro complicato sistema di backend protetto da password.

    Sulla rete invece si trovano sistemi piuttosto semplici.

    Il più semplice e forse il più efficace (per quello che capisco io) e proteggere una cartella con htaccess e htpasswd (visto fare da aruba). il file htaccess contiene:

    AuthType Basic
    AuthName "admin"
    AuthUserFile /percorsoperarrivarealfile/.htpasswd
    require valid-user

    Il sistema però ha lo svantaggio di avere un forse inestetico popup di login.

    Ma la mia domanda è:

    se è così semplice, perchè joomla e wordpress ci martellano le ----- con continui aggiornamenti sulla sicurezza?

    ThanX


  • User Attivo

    Beh, pechè non tutti i servizi di hosting offrono la possibilità di usare .htaccess e quindi coloro che scrivono gli script riservati ad un grande pubblico devono adeguarsi di conseguenza!
    In PHP, ma anche negli altri linguaggi web, ogni controllo deve essere effettuato, anche il più banale : ricorda che un utente potrebbe sempre trasformarsi, a sua insaputa, in un potenziale hacker e potrebbe causare danni...Ecco perchè in giro ci sono così tante utility sulla sicurezza...
    E ricorda che PHP è molto più flessibile e personalizzabile degli .htaccess...Almeno per me;)


  • User Attivo

    Si, si...

    Quello che non capisco è... se è così semplice fare un sistema di login con htaccess o php/mysql (per quello che posso riassumere io: fai una sessione richiedi user e pass e confronti con quelli nel db criptati con md5)...

    Perchè tante paranoie sulla sicurezza?

    Quello è il sistema, punto!

    Sto solo cercando di capire 'come fare per', qual'è il sistema migliore...


  • User Attivo

    Ricordati che non si tratta solo di confrontare i dati...
    Un hacker potrebbe anche entrare nel db,prendersi una password criptata...E' difficile che riesca a decriptarla, ma il punto non è quello :
    Metti anche i register_globls ...Possono creare seri problemi...C'è una mia guida nella sezione php tutorial...E poi bisogna anche controllare i magic_quotes...Non è cosi semplice!Per questo bisogna aggiornarsi sulla sicurezza...Poi c'è sempre l'SQL injection...Sono tutte cose che vanno controllate durante la creazione di uno script...Altrimenti sarebbe tutto più semplice!:DE poi chi lo può affermare che gli .htaccess sono impossibili da crackare?;)


  • ModSenior

    Come visitatore che puoi bypassare i file htaccess non è sicuramente possibile poichè li legge apache e li elabora direttamente lui, senza passare minimamente lato client.
    La sicurezza lato php e una semplice area protetta mediante autenticazione apache sono 2 cose molto diverse.
    In php devi occuparti di gestire tutti gli input del visitatore con adeguati controlli, proprio per evitare SQL INJECTION come detto da ilnetsurfer.
    Inoltre il login fatto in php è riutilizzabile per poter passare informazioni che con htaccess non potresti fare, insomma sono 2 cose molto differenti tra loro.

    Alla fine non c'è molto da fare in fatto di sicurezza nemmeno in php, basta mettere gli adeguati controlli che non sono nemmeno molti. Sicuramente i cms opensource hanno qualche problemino in più poichè ci sono dietro tante persone che fanno modifiche e ci vuole poco a confondersi.


  • User Attivo

    Grazie per le info ragazzi.

    @Thedarkita: non ho capito se secondo te il sistema con l'htaccess è inattaccabile.


  • ModSenior

    Lato client con quel sistema di autenticazione non vi è alcuna interazione quindi è impossibile sbagliare per il programmatore, è una soluzione differente da un autenticazione fatta in php che non può essere utilizzata in tutti i casi.
    La sicurezza lato php è un discorso molto più vasto che riguarda molte più cose.


  • User Attivo

    Per esempio se hai bisogno di un login con sessione non puoi farlo con htaccess?
    Abbi pazienza ma non capisco...


  • ModSenior

    Non mi sembra sia possibile, anche perchè non sò quanto senso avrebbe fare un misto.
    Più che altro un'autenticazione in htaccess viene usata per proteggere una cartella e riservarla a poche persone, anche perchè se non immetti i dati corretti ti genera errore 403 mentre in phph ti puoi fare le pagine di errore e fargli vedere parte del sito. Direi sono 2 soluzioni utilizzate in casi differenti, per quanto riguarda la sicurezza con htaccess il programmatore non deve mettersi a vedere problemi come le SQL injection, ma messo quel controllo anche un login php è diventato sicuro quindi la scelta non ricade tanto sulla sicurezza ma più che altro sull'utilizzo che se ne deve fare.