Internetowe bazy danych

Wielkość: px

Rozpocząć pokaz od strony:

Download "Internetowe bazy danych"

Lech Rosiński
8 lat temu
Przeglądów:

1 Wyższa Szkoła Technologii Teleinformatycznych w Świdnicy Internetowe bazy danych wykład 6 dr inż. Jacek Mazurkiewicz Jacek.Mazurkiewicz@pwr.wroc.pl

2 Kontrola dostępu <?php if(!isset($user) &&!isset($haslo)) { // użytkownik podlega identyfikacji?> <h1>zaloguj się</h1> Strona zastrzeżona <form method = post action = achtung.php > <table border = 1> <tr> <th> Użytkownik </th> <td> <input type = text name = user> </td> </tr> <tr> <th> Hasło </th> <td> <input type = password name = haslo> </td> </tr> <tr> <td colspan = 2 align = center> <input type = submit value Zaloguj się > </td> </tr> </form>

php > <table border = 1> <tr> <th> Użytkownik </th> <td> <input type = text name = user> </td> </tr> <tr> <th>

3 <?php else if($user == uzytkownik && $haslo == haslo ) { // identyfikacja poprawna echo Możesz zobaczyć stronę ; else { // identyfikacja niepoprawna echo Nie zobaczysz strony ;?> Zasadnicze wady rozwiązania: akceptacja tylko jednego użytkownika i jednego hasła zapisanego w kodzie hasło przechowywane w formie otwartego tekstu ochrona tylko jednej strony internetowej przesyłanie hasła w formie otwartego tekstu

> Zasadnicze wady rozwiązania: akceptacja tylko jednego użytkownika i jednego hasła zapisanego w

4 Przechowywanie haseł dostępu w skrypcie trudna modyfikacja, dostępność zbyt duża w pliku lepiej z kontrolą niepowołanych, problem gdy dużo w bazie danych dobry dostęp, łatwość modyfikacji create database wiara; use wiara; create table zawodnik ( user varchar(20) not null, haslo varchar(30) not null, ); insert into zawodnik values ( testman, test098 ); grant select, insert, update, delete on wiara.* to hans@localhost identified by J23 ; Tworzenie bazy w MySQL

create table zawodnik ( user varchar(20) not null, haslo varchar(30) not null, ); insert into zawodnik values (

5 <?php else { $connect = mysql_connect( localhost, hans, J23 ); if(!$connect) { echo Brak połączenia ; exit; $zap = select * from zawodnik where user like $user and haslo like $haslo ; $wynik = mysql_query($zap); if(!wynik) { echo Coś nie tak ; exit; $ile = mysql_num_rows($wynik); if($ile > 0) { echo Możesz zobaczyć stronę ; /* identyfikacja OK. */ else { echo Nie zobaczysz strony ; /* identyfikacja zła */?>

$wynik) { echo Coś nie tak ; exit; $ile = mysql_num_rows($wynik); if($ile > 0) { echo Możesz zobaczyć$

6 Zasadnicze wady rozwiązania: hasło przechowywane w formie otwartego tekstu ochrona tylko jednej strony internetowej przesyłanie hasła w formie otwartego tekstu Szyfrowanie hasła: w PHP funkcja crypt: string crypt (string łańcuch [, string klucz]) zwraca pseudolosowy ciąg znaków, nie można odwrócić procesu, ale to samo wejście i klucz dają ten sam który można porównać w MySQL funkcja password: string password (string) zwraca pseudolosowy ciąg znaków, nie można odwrócić procesu, szyfrowanie odbywa się według pewnego algorytmu mieszającego

znaków, nie można odwrócić procesu, ale to samo wejście i klucz dają ten sam który można porównać w MySQL funkcja password: string

7 Szyfrowanie hasła z PHP if($user == uzytkownik && $haslo == haslo ) { // identyfikacja OK. if($user == uzytkownik && crypt($haslo, xx ) == xxvcgpmnm2g9c ) { // identyfikacja OK. Szyfrowanie hasła z MySQL insert into zawodnik values ( testman, test098 ); $zap = select * from zawodnik where user like $user and haslo like $haslo ; $zap = select * from zawodnik where insert into zawodnik values user like $user and ( testman, password( test098 )); haslo like password( $haslo )

Szyfrowanie hasła z MySQL insert into zawodnik values ( testman, test098 ); $zap = select * from zawodnik where user

8 Zasadnicze wady rozwiązania: ochrona tylko jednej strony internetowej <?php if(substr($server_software, 0, 9) == Microsoft &&!isset($php_auth_user) &&!isset($php_auth_pw) && substr($http_authorization, 0, 6) == Basic ) { list($php_auth_user, $PHP_AUTH_PW) = explode( :, base64_decode(substr($http_authorization, 6))); // zamiast if może być zapytanie do bazy if ($PHP_AUTH_USER!= uzytkownik $PHP_AUTH_PW!= haslo { // użytkownik nie podał danych albo coś się nie zgadza header( WWW-Authenticate: Basic realm= Nazwa zasobu ); if(substr($server_software, 0, 9) == Microsoft ) header( Status: 401 Unathorized ); else header( HTTP/ Unauthorized ); echo Nie zobaczysz strony ; else echo Możesz zobaczyć stronę ;?>

$= haslo { // użytkownik nie podał danych albo coś się nie zgadza header( WWW-Authenticate: Basic realm= Nazwa zasobu ); if(substr($server_software, 0, 9) == Microsoft ) header($

9 Moduł mod_auth_mysql (1) źródło: po rozpakowaniu katalog mod_auth_mysql, polecenie: configure ze ścieżką do serwera MySQL i Apache:./configure --with-mysql=/var/mysql --with-apache=/src/apach polecenie make install z parametrem: --activate-module=src/modules/auth_mysql/libauth_mysql.a założenie baz i tabeli do trzymania danych uwierzytelniających, mogą być to bazy dowolne w pliku httpd.conf dodać linię pozwalającą na łączenie z serwerem MySQL: Auth_MySQL_Info komputer użytkownik haslo uruchomienie Apache: /usr/local/apache/bin/apachectl startssl

/configure --with-mysql=/var/mysql --with-apache=/src/apach polecenie make install z parametrem:

10 Moduł mod_auth_mysql (2) plik.htaccess definiuje uwierzytelnianie z danych MySQL Auth_MySQL_DB - baza uwierzytelniania Auth_MySQL_Encryption_Types sposób szyfrowania haseł Auth_MySQL_Password_Field tablica haseł Auth_MySQL_Username_Field loginy użytkowników hasło dostępu do serwera MySQL w skrypcie PHP - ochrona zabezpieczeniami serwera WWW konfiguracja serwera WWW - *.php są przetwarzane tylko przez PHP, nikt z zewnątrz nie podgląda ich zawartości konfiguracja serwera WWW pojedynczy użytkownik może uruchomić skrypt, każdy pracuje na odrębnej kopii serwera

haseł Auth_MySQL_Password_Field tablica haseł Auth_MySQL_Username_Field loginy użytkowników hasło dostępu do serwera MySQL w skrypcie PHP -

11 Cookies co to jest cookie? małe fragmenty tekstu wysyłane do przeglądarki użytkownika pomocne w tworzeniu koszyka zakupów, personalizacji witryn nie przechowują danych jawnych, mogą zawierać łańcuch identyfikacyjny łączący użytkownika z danymi w bazie danych tworzenie cookies określić jak będą wykorzystywane i kiedy będą ustawione ustawiać zawsze przed wysłaniem jakichkolwiek danych przeglądarki bo to część informacji nagłówka

personalizacji witryn nie przechowują danych jawnych, mogą zawierać łańcuch identyfikacyjny łączący

12 setcookie( ) definicja pojedynczego pakietu Nazwa: nazwa zmiennej przechowywanej w tablicy globalnej $HTTP_COOKIE_VARS dostępna w kolejnych skryptach Wartość: wartość zmiennej przekazanej w parametrze nazwa Data ważności: ustala określony czas, po jego upłynięciu wartość cookie przestaje być dostępna, jeśli daty brak cookie traci ważność wraz z zamknięciem przeglądarki Ścieżka: określa katalogi, dla których pakiet cookie jest ważny, pojedynczy ukośnik pakiet cookie ważny dla wszystkich plików i katalogów na serwerze WWW Domena: cookie ważne tylko dla danego lokalnego hosta i domeny która je ustawiła, brak domeny nazwa hosta, który wygenerował cookie, poprawna domena minimum 2 kropki Bezpieczeństwo: jeśli 1 cookie transmitowany poprzez HTTPS

Ścieżka: określa katalogi, dla których pakiet cookie jest ważny, pojedynczy ukośnik pakiet cookie ważny dla wszystkich plików i katalogów na serwerze WWW Domena: cookie ważne tylko dla

13 Cookies - przykład setcookie( id, 55sds809892jjsj2, time()+14400, /,.twojadomena.com, 0); wartość Time() + 60 Time() Time() Time() Time() Time() Time() Time() Time() Time() definicja Godz + 1 min Godz + 15 min Godz + 30 min Godz + 1 godz Godz + 4 godz Godz + 12 godz Godz + 24 godz Godz + 3 dni Godz + 1 tydz Godz + 30 dni

43200 Time() + 86400 Time() + 259200 Time() + 604800 Time() + 2592000 definicja Godz + 1 min Godz

14 Tworzenie testowego Cookie <?php $cookie_name = test_cookie ; $cookie_value = test spring! ; $cookie_expire = time()+86400; $cookie_domain =.twojadomena.com ; setcookie($cookie_name, $cookie_value, $cookie_expire, /, $cookie_domain, 0);?> <HTML> <HEAD> <TITLE>Set Test Cookie</TITLE> </HEAD> <BODY> <H1>Mmmmmmmm... Cookie!<H1> </BODY> </HTML> zapisać pod nazwą.php warto w przeglądarce ustawić informowanie o cookies

com ; setcookie($cookie_name, $cookie_value, $cookie_expire, /, $cookie_domain, 0);?

15 Cookie w uwierzytelnianiu (1) <?php $connect = mysql_connect( localhost, hans, J23 ); if(!$connect) { echo Brak połączenia ; exit; $zap = select * from zawodnik where user like $user and haslo like $haslo ; $wynik = mysql_query($zap); if(!wynik) { echo Coś nie tak ; exit; $ile = mysql_num_rows($wynik); if($ile > 0) { $cookie_name = auth ; $cookie_value = ok ; $cookie_expire = ; $cookie_domain = ; setcookie($cookie_name, $cookie_value, $cookie_expire, /, $cookie_domain, 0);

$wynik) { echo Coś nie tak ; exit; $ile = mysql_num_rows($wynik); if($ile > 0) { $cookie_name = auth ; $cookie_value =$

16 Cookie w uwierzytelnianiu (2) $display_block = <P><strong>Tajne menu:</strong></p> <ul> <li><a herf=\ secreta.php\ >tajna strona A</a> <li><a herf=\ secretb.php\ >tajna strona B</a> </ul> ; echo $display_block ; else { echo Nie zobaczysz strony ; /* identyfikacja zła */?> jeśli uwierzytelnianie się powiedzie ustawi się cookie o nazwie auth i wartości ok. ważność wygaśnie wraz z końcem sesji przeglądarki cookie będzie ważne dla wszystkich katalogów na lokalnym hoście

$php\ >tajna strona B</a> </ul> ; echo $display_block ; else { echo Nie zobaczysz strony ; /* identyfikacja zła */?$

17 Cookie w uwierzytelnianiu (3) <?php if ($auth == ok ) { $msg = <P>Witamy uwierzytelnionego użytkownika na tajnej stronie A</P> ; else { header( Location: ); exit;?> <HTML> <HEAD> secretb.php <TITLE>Secret page A</TITLE> </HEAD> <BODY> <?php echo $msg ;?> </BODY> </HTML> secreta.php

tajnej stronie A</P> ; else { header( Location: http://localhost/login.

Podobne dokumenty

Tworzenie witryn internetowych PHP/Java. (mgr inż. Marek Downar)

Tworzenie witryn internetowych PHP/Java (mgr inż. Marek Downar) Rodzaje zawartości Zawartość statyczna Treść statyczna (np. nagłówek, stopka) Layout, pliki multimedialne, obrazki, elementy typograficzne,