haslo w skrypcie php

[tommy_from_cracow]

Mam takie pytanie:
Robie formularz do logowania, wystarczy wpisac samo haslo zeby przejsc do
nastepnej strony. jako action daje np: logowanie.php w ktorym to
skrypcie-pliku jest haslo bezposrednio podane. I teraz mam pytanie jakie sa
mozliwosci "dotarcia" do tego hasla? Szukalem w internecie i na forach i
wlasciwie wszyscy pisza tylko tyle, ze ten sposob jest nie zalecany, ze
powinno sie chaslo kodowac w md5 umieszczac w bazie txt albo mysql itd... ale
slowa o tym jaie jest niebezpieczenstwo i sposoby dotarcia do hasla...
Bede wdzieczny za wyjasnienia
Pozdrawiam

[szczurek1983]

baza mysql jest lepiej zabezpieczona niż plik txt czy php. Niebezpieczenstwo
jest takie że ktoś sciągnie sobie plik bez przetwarzania przez serwer i wtedy
będzie miał hasło. Trzeba się jeszcze do ftp dostać, ale wiadomo im bardziej
hasło jest ukryte tym lepiej.

[tommy_from_cracow]

OK ale moglbys mi jeszcze powiedziec na ile jest to skaplikowana sprawa no i +-
jak przez ftp taki plik mozna sciagnac? Chyba nie wystarczy wpisac url-a?;-)
Wiem, ze moze moje pytanie moze budzic watpliwosci typu: po co mu to? ale tak ne
serio to pytam z czystej ciekawosci!
Dzieki za odp. i pozdrawiam

[eofek]

tommy_from_cracow napisała:

> OK ale moglbys mi jeszcze powiedziec na ile jest to skaplikowana sprawa no i +-
> jak przez ftp taki plik mozna sciagnac? Chyba nie wystarczy wpisac url-a?;-)
> Wiem, ze moze moje pytanie moze budzic watpliwosci typu: po co mu to? ale tak n
> e
> serio to pytam z czystej ciekawosci!

nie trzeba nawet wlazic przez ftp. wystarczy wyświetlić zawartość skryptu php jako pliku txt za pomocą
Twojego własnego skryptu wyświetlającego coś tam, jeśli w ramach instrukcji warunkowej nie
przewidziałeś opcji default (dla switch na przykład). W sensie - ktoś może wysłać przez url wartość
zmiennej, której nie przewidziałeś. Mnie tak ktoś kiedyś robił ze stroną co chciał, a że jestem lamuch,
nawet nie wiedziałem co jest nie tak ;) Jeśli rozumiesz powyższy opis, wyciągniesz odpowiednie wnioski
na temat możliwości. jeśli nie, nie chciałbym karmić script kiddies bardziej szczegółowymi opisami ;)
Ogólnie możliwości skorzystania z hasła zapisanego na sztywno w pliku trochę jest :D

[tommy_from_cracow]

Allo!
Dzieki za odpowiedz ale... nie za bardzo rozumiem. Tzn wiem mniej wiecej jakie
zagrozenie niesie za soba includowanie plikow jesli nie okresli sie dokladnie z
jakiego folderu i w jakim rozszerzeniu powinny byc. I tu choc nie robilem tego
nigdy ale wyobrazam sobie ze np w url mozna podac adres do swojego skryptu ktory
robi "zamieszanie" na twoim serwerze. Ale w tym wypadku nie wiem za bardzo jak
mozna "przemycic" swoj skrypt. Jesli moglbys to troche rozjasnic bede wdzieczny!
I na koniec moze przyklad taki:
ZRODLO STRONY Z FORMULARZEM DO LOGOWANIA:
www.mojastrona.cos.pl/logowanie

<html>
<head>
<title>Logowanie</title>
<meta http-equiv="Content-Type" content="text/html"; charset=iso-8859-2" />
</head>
<body>
<h1>Podaj hasło:</h1>
<form name="formularz" action="logowanie.php" method="post">
<input type="password" name="password" />
<input type="submit" value="OK" />
</form>
</body>
</html>

I PLIK LOGOWANIE.PHP:

<?php
$password=$_POST["password"];
if($password<>"moje_haslo") {
echo 'Niepoprawne hasło';
}
else {
include('formularz2.html');
}
?>