Добро пожаловать на форум PHP программистов!
За последние 24 часа нас посетил 17671 программист и 1734 робота. Сейчас ищут 1382 программиста ...
Оглавление
Авторские праваПредисловие
Приступая к работе
ВведениеПростой учебник
Установка и настройка
Общие инструкции по установкеУстановка на Unix системыУстановка на Mac OS XУстановка в системах WindowsУстановка на платформах Cloud ComputingМенеджер процессов FastCGI (FPM)Установка расширений PECLПроблемы?Конфигурация запуска
Справочник языка
Основы синтаксисаТипыПеременныеКонстантыВыраженияОператорыУправляющие конструкцииФункцииКлассы и объектыПространства именErrorsИсключенияGeneratorsСсылки. РазъясненияПредопределённые переменныеПредопределённые исключенияВстроенные интерфейсы и классыКонтекстные опции и параметрыПоддерживаемые протоколы и обработчики (wrappers)
Безопасность
ВступлениеОбщие рассужденияЕсли PHP установлен как CGIЕсли PHP установлен как модуль ApacheБезопасность файловой системыБезопасность баз данныхСообщения об ошибкахИспользование глобальных переменных (Register_Globals)Данные, введенные пользователемВолшебные кавычкиСокрытие PHPНеобходимость обновлений
Отличительные особенности
HTTP-аутентификация в PHPCookiesСессииРабота с XFormsЗагрузка файлов на серверРабота с удаленными файламиРабота с соединениямиПостоянные соединения с базами данныхБезопасный режимИспользование PHP в командной строкеСборка мусораDTrace Dynamic Tracing
Справочник функций
Изменение поведения PHPОбработка аудио форматовСлужбы аутентификацииРасширения для работы с командной строкойРасширения для сжатия и архивацииОбработка кредитных картКриптографические расширенияРасширения для работы с базами данныхРасширения для работы с датой и временемРасширения для работы с файловой системойПоддержка языков и кодировокОбработка и генерация изображенийРасширения для работы с почтойМатематические расширенияГенерация нетекстовых MIME форматовРасширения для управления процессами программДругие базовые расширенияДругие службыРасширения для работы с поисковыми системамиРасширения для работы с серверамиРасширения для работы с сессиямиОбработка текстаРасширения, относящиеся к переменным и типамВеб-сервисыРасширения только для WindowsОбработка XML
Ядро PHP: Руководство хакера
PrefaceMemory managementWorking with VariablesWriting FunctionsWriting ClassesWorking with ResourcesWorking with INI settingsWorking with streamsThe "counter" Extension - A Continuing ExampleThe PHP 5 build systemExtension structurePDO Driver How-ToExtension FAQsZend Engine 2 API referenceZend Engine 2 OpcodesZend Engine 1
ЧАВО
Общая информацияСписки рассылкиПолучение PHPВопросы по Базам данныхУстановкаПроблемы сборкиИспользование PHPХэширование паролейPHP и HTMLPHP и COMПереход с PHP 4 на PHP 5Разные вопросы
Appendices
История PHP и смежных проектовMigrating from PHP 5.6.x to PHP 7.0.xMigrating from PHP 5.5.x to PHP 5.6.xMigrating from PHP 5.4.x to PHP 5.5.xПереход с PHP 5.3.x на PHP 5.4.xПереход c PHP 5.2.x на PHP 5.3.xПереход с PHP 5.1.x на PHP 5.2.xПереход с PHP 5.0.x на PHP 5.1.xПереход с PHP 4 на PHP 5.0.xClasses and Objects (PHP 4)Отладка в PHPОпции конфигурацииДирективы php.iniСписок/классификация расширенийСписок псевдонимов функцийСписок зарезервированных словСписок типов ресурсовСписок доступных фильтровСписок поддерживаемых транспортных протоколовТаблица сравнения типов в PHPСписок меток (tokens) парсераРуководство по именованиюОб этом руководствеCreative Commons Attribution 3.0Алфавитный списокСписок изменений

Шифрование хранилища базы данных

Вернуться к: Безопасность баз данных

SSL/SSH защищает данные, которыми обмениваются клиент и сервер, но не защищает сами данные, хранимые в базе данных. SSL - протокол шифрования на уровне сеанса передачи данных.

В случае, если взломщик получил непосредственный доступ к БД (в обход веб-сервера), он может извлечь интересующие данные или нарушить их целостность, если информация не защищена на уровне самой БД. Шифрование данных - хороший способ предотвратить такую ситуацию, но лишь незначительное количество БД предоставляют такую возможность.

Наиболее простое решение этой проблемы - установить вначале обыкновенный программный пакет для шифрования данных, а затем использовать его в ваших PHP-скриптах. PHP может вам помочь с этой задачей с помощью таких расширений как Mcrypt и Mhash, реализующих довольно большое число алгоритмов шифрования. При таком подходе скрипт вначале шифрует сохраняемые данные, а затем дешифрует их при запросе. Ниже приведены примеры того, как работает шифрование данных в PHP-скриптах.

В случае работы со скрытыми служебными данными, если не требуется их нешифрованное представление (т.е. его не нужно показывать), то, как следствие, можно использовать хэширование. Хорошо известный пример хэширования - хранение криптографического хэша от пароля в БД, вместо хранения оригинального значения. Смотрите также документацию по функции crypt().

Пример #1 Использование хешированных паролей

<?php

// сохранение хэшированного пароля
// $random_chars получены например использованием /dev/random
$query  sprintf("INSERT INTO users(name,pwd) VALUES('%s','%s');",
            pg_escape_string($username),
            pg_escape_string(crypt($password'$2a$07$' $random_chars '$')));
$result pg_query($connection$query);

// проверка введенного пользователем пароля на корректность
$query sprintf("SELECT pwd FROM users WHERE name='%s';",
            pg_escape_string($username));
$row pg_fetch_assoc(pg_query($connection$query));

if ($row && crypt($password$row['pwd']) == $row['pwd']) {
    echo 'Добро пожаловать, ' htmlspecialchars($username) . '!';
} else {
    echo 'Авторизация не удалась, ' htmlspecialchars($username) . '.';
}

?>


Вернуться к: Безопасность баз данных

© 2024 «PHP.RU — Сообщество PHP-Программистов»
Главная | Форум | Реклама на сайте | Контакты VIP Сувениры
Разработка компании ODware