password

[borgo italia]

ciao
la discussione si fa interessante.
comunque ho un qualche dubbio:
se nella mia tabella ho la pass (evidentemente criptata e possibilmente non uguale a 123456) quali possono essere i tipi di attacco?
1. se non controllo bene gli input da form di log è evidente che qualcuno può accedere alla tabella
2. se controllo bene, l'attacco di cui sopra non dovrebbe avvenire
3. oppure uno attacca direttamente il server,allora quello che faccio io credo che abbia poca importanza, ma non dovrebbe esserci una protezione del server per gli attacchi?
4. se il maleintenzionato vuole prelevare dal db es gli indirizzi email (per poi fare spam) o il codice della carta di credito del cliente (fa collezione di numeri), quindi che l'utente cambi la pass o no i dati che servono al malintenzionato possono essere da lui prelevati, pocho gli interessa sapere quali sono le pass criptate o meno
5. quello che credo che dovrebbe essere ben nascosto è non tanto la pass ma quello che scrivo e come in

$conn = @mysql_connect($host,$username,$password) or die (mysql_error());
$sel = @mysql_select_db($db) or die (mysql_error());

se il maleintenzionato riesce ad avere/leggere $host,$username,$password per prelevare i codici della carta di credito poco importa che l'utente abbia una pass di 8.000 caratteri e la cambi ogni due sec.
sbaglio?

 

[alessandro1997]

Beh, purtroppo non c'è modo di offuscare la password di accesso al database.

L'unico modo è configurare il server MySQL in modo che accetti solo connessioni da localhost e senza password (vedi Altervista, per esempio). Però, in quel caso, se il malintenzionato riuscisse a caricare uno script sul server, o accedere al server via SSH, avrebbe accesso totale al database.