Jump to content
TMota

[Resolvido] Ligação a Base de Dados Segura

Recommended Posts

TMota

Boas Pessoal!

Estou a precisar da vossa ajuda para proteger uma ligação mysql em php, é que já atacaram o meu site e descobriram as senhas...

Alguém sabem como fazer uma ligação segura?

Cumps

TMota


Tiago Mota - www.tiagomota.pt

Share this post


Link to post
Share on other sites
Knitter

PDO não tem nada a ver com segurança. MD5 não é um algoritmo de cifra.

Fico curioso por saber que senhas descobriram, alguma que estava na BD ou alguma que estava escrita num ficheiro de código/configuração?

O que deves procurar não é uma forma de fazer uma "ligação segura" à BD (seja lá o que isso for) mas sim de melhorares a segurança da tua aplicação começando pelos pontos mais básicos: SQL Injection, protecção de ficheiros com dados sensíveis e cross site scripting.

A segurança de uma aplicação é um processo contínuo de monitorização, testes e ajustes, não há nenhuma forma infalível de protecção.

Share this post


Link to post
Share on other sites
XsTeAl

PDO não tem nada a ver com segurança. MD5 não é um algoritmo de cifra.

Fico curioso por saber que senhas descobriram, alguma que estava na BD ou alguma que estava escrita num ficheiro de código/configuração?

O que deves procurar não é uma forma de fazer uma "ligação segura" à BD (seja lá o que isso for) mas sim de melhorares a segurança da tua aplicação começando pelos pontos mais básicos: SQL Injection, protecção de ficheiros com dados sensíveis e cross site scripting.

A segurança de uma aplicação é um processo contínuo de monitorização, testes e ajustes, não há nenhuma forma infalível de protecção.

Eu falei no PDO na questao da segurança na base de dados! pelo o que sei o PDO já protege do sql injection

E para mim quando quero proteger as senhas faço com md5

Share this post


Link to post
Share on other sites
mjamado
Eu falei no PDO na questao da segurança na base de dados! pelo o que sei o PDO já protege do sql injection

O PDO é só um motor. Como usas esse motor pode dar-te protecção contra SQLi, ou não. A única maneira de te protegeres contra SQLi é não usar SQL ou usar prepared statments, que o PDO, assim como o MySQLi, suportam. Mas tens que usar.

E para mim quando quero proteger as senhas faço com md5

O MD5 não encripta, na medida em que é impossível recuperar o texto simples com 100% de confiança. O MD5 é uma função de hashing.

Mas, sim, passwords devem ser guardadas num formato de hash (sendo impossíveis de recuperar). Claro que o MD5 já é fraquinho para isso, mas há outras (SHA1, por exemplo), e são virtualmente imbatíveis usando técnicas de salt.


"Para desenhar um website, não tenho que saber distinguir server-side de client-side" - um membro do fórum que se auto-intitula webdesigner. Temo pelo futuro da web.

Share this post


Link to post
Share on other sites
ruimcosta

Boas Pessoal!

Estou a precisar da vossa ajuda para proteger uma ligação mysql em php, é que já atacaram o meu site e descobriram as senhas...

Alguém sabem como fazer uma ligação segura?

Cumps

TMota

O que fizeram exactamente?

Tens o site protegido contra SQL Injections? A palavra passe de ligação á base de dados é suficientemente forte contra bruteforce?


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.