КАТ и паролите

Има много причини, поради които това е лошо.

1. Не трябва да се отпечатва на екрана паролата в явен вид и изобщо подобно SQL query, само защото потребителското име е заето и се violate-ва unique key. Някой може да я види.

2. Като се прави INSERT INTO … PASSWORD(‘javnaparola’), това query може да попадне във видими логове и от там любопитен поглед да се сдобие с 20 000 акаунта на потребители, асоциирани към личните им документи и егн-та.

3. MySQL функцията PASSWORD изобщо не е предвидена за криптиране на потребителските пароли в уебсайт и изобщо не е редно криптирането да се прави в SQL Query поради причина 2.

4. Липсва salt. Паролите, криптирани без salt са уязвими на rainbow tables и могат лесно и бързо да бъдат обърнати в явен вид, освен ако не са 30-40 символа.

Правилният начин е в php-то да се залепи salt (аз ползвам 100-тина символа) към паролата, да се приложи примерно md5 или по-надежден криптиращ алгоритъм и чак тогава да се записва в базата данни.

5. Липсва функционалност да си редактираш или изтриеш профила или даже да си смениш паролата. Не искам ЕГН-то ми да съществува в сайт, изпълнен по този начин ;/

Данните на екрана са хипотетични, ползвано е името Ива, защото грешката я откри Iffi

Прочети цялата новина

Свързани новини: