Aleksejs

@ Delfins: Tas atgādina anekdoti:

Jā, neiet gan Jums! Es arī saņēmu :D

Cik daudz no programmēšanas kā tādas Tu zini? No tā ir atkarīgs, kāda veida grāmatu ieteikt.

marrtins: minēti ir 2004. gada dati, bet lietas ir virzījušās uz priekšu pa šo laiku. Piemēram, Marka Stīvensa (Marc Stevens) darbs - Fast Collision Attack on MD5 ir devis rezultātu: Kavacky: Man būtu žēl, ja kādam rastos problēmas tikai tādēļ, ka šķiet, ka es runāju pārgudri. Kas tieši likās pārgudrs? Vai tiešām pat šajā forumā vienīgie argumenti ir "tu esi lohs, jo nedomā tā kā es domāju" un nevis normāla diskusija. Jā, iespējams, es kļūdos. Bet pateikt, ka mans viedoklis nav pareizs tikai tādēļ, ka termini šķiet pārgudri, nav loģiski. ;) Peace.

Jā, vārdi: "... visi mīž bundžā ..." veicina ļoti konstruktīvu diskusiju! Bravo! Cik saprotu no blackhat sniegtā resursa sadaļas Do it yourself: the "evilize" library, tad ar šo "evilize" bibliotēku var izveidot bināro failu ar brīvi izvēlētu hash summu - un tas nu gan nav "atrast vienu kolīziju" (pie kam šī kolīzija netika atrasta ar pilnās pārlases palīdzību)! Ja šis ir spēkā, tad MD5 nepiemīt neviena no obligātajām kriptogrāfiski drošas hash funkcijas īpašībām: Pirmtēla rezistence: Ja dots h, tad ir skaitļošanas ziņā sarežģīti atrast tādu m, ka h=md5(m) Otrā pirmtēla rezistence: Ja dots m1, tad ir skaitļošanas ziņā sarežģīti atrast tādu m2, ka md5(m1)=md5(m2) Kolīziju rezistence: Ir skaitļošanas ziņā sarežģīti atrast tādus brīvi izvēlētus m1 un m2, ka md5(m1)=md5(m2)

Jā, tajā ir teikts par uzbrukumu SHA1, bet tas netuvojas MD5 uzlaužamībai.

bubu, un kur ir lasāms par sha1 lielāku uzlaužamību?

Heh: http://nsa.unaligned.org/ un otrs (ne tik ļoti saistīts) heh: http://www.mail-archive.com/cryptography@m...m/msg07950.html

Diemžēl oriģinālo Wangas papīru nezinu, kur dabūt šobrīd: http://www.infosec.sdu.edu.cn/people/wangxiaoyun.htm Bet ir vēl šis: http://www.iaik.tugraz.at/aboutus/people/s..._Schlaeffer.pdf Diemžēl pārāk nav izdevies tam sekot līdzi, taču cik saprotu, tad MD5 ir atrasta nopietna problēma.

Sakarā ar to, ka MD5 algoritms tiek uzskatīts par salauztu, SHA1 vēl tiek uzskatīts par samērā drošu, bet neviens neņemas teikt uz cik ilgu laiku, bet SHA2 ir par lēnu, 2007. gada 2. novembrī NIST ir izsludinājusi konkursu par jaunas hash funkcijas izveidi. To sauks par... SHA3 ;) Tā teikt kriptologiem nākošais aizraujošākais notikums pēc konkursa par AES izveidi. Redzēsim, kas notiks un kā tas ietekmēs ļoti milzīgu daļu no visa veida drošības risinājumiem, kuros šobrīd tiek izmantotas MD5/SHA1 hash funkcijas. Avots

Es parasti tomēr pacīnos, lai visur visu rādītu un lai W3 validators teiktu, ka viss ok.

šobrīd ir šāda izstrādes filosofija populāra: Getting Real ;)

p4F, es redzu dažas problēmas! 1) Es ar rociņām varu ierakstīt savā cookie, ka nick=admin 2) Es ar rociņām varu ierakstīt savā cookie, ka nick=user' DROP TABLE users; Select 1+2 WHERE ''='

p4F, vai tas nozīmē, ka kukijā glabā paroli?

MāriL, nu tad ir spēkā manis jau teiktais. Pārfrāzējot: Problēma ir tajā, ka lietotāju tabulā tu meklē sesijas id. Tev ir jādara tā: 1) Jānodibina sesija (to esi izdarījis). 2) Jāpārbauda, vai lietotājs ir autentificēts: Jāpārbauda, vai ir uzstādīts $_SESSION['lietotaja_id']. 3) Ja nav uzstādīts, tad jānoskaidro, vai lietotājs nav šobrīd atsūtījis autentificēšanās datus (lietotājvārdu & paroli). 4) Ja ir atsūtījis, tad jāpārbauda, vai ir derīgi. 5) Ja ir derīgi tad jāuzstāda $_SESSION['lietotaja_id'] = lietotāja id no lietotāja tabulas, citādi, jāsūta uz login lapu 6) Ja nav atsūtījis 3. punktā, tad jāsūta uz login lapu 7) Ja ir uzstādīts 2. punkatā, tātad lietotājs ir autentific\ets. Aptuveni tā. P.S. Rakstīju ātri, atbildību par korektību neuzņemos. :) Apskaties kaut vai šo: http://php.lv/f/index.php?s=&showtopic...post&p=5523

tipa-gaishaaks-grey - :D :D :D

Šis ir risinājums

marci, nu, kaut kā neredzu, ka kaut vienā vietā kaut kas tiktu piešķirts mainīgajam $_SESSION['id']... ;) Bez tam, cik atceros, vēl vajadzēja arī session_start(); kaut kur būt... Bet nav. Varbūt ir - bet tad kaut kādā includē. Jā, $_SESSION['id'] nesatur sesijas id. Manuprāt, nesatur itin neko šajā piemērā.

Tas ir sesijas id nevis lietotāja id, kuru Tu izmanto 101. rindiņā (kuru uzstāda 97. rindiņā).

PHP nekur tuvumā nav pieejams, lai notestētu, tādēļ nemācēšu pateikt, vai ; pielikšana galā nerada kļūdu. Noteikti zinu, ka var nelikt. Jā, tā varētu sesijas ID izskatīties.

ja man mainīgajā $lauks ir ielasīti attiecīgie dati, tad: if(strtolower(substr($lauks,0,7))==='http://'){echo '<a href="'.$lauks.'">'.$lauks.'</a>'; } else { echo $lauks; }

Parasti iekš cookie glabājas tikai sesijas id. Visi $_SESSION mainīgie glabājas uz servera (parasti /tmp mapē failos ar mistiskiem nosaukumiem). Tādēļ, viss, kas vajadzīgs ir uzsākt sesiju un uzstādīt/pārbaudīt $_SESSION['id'] Vairāk par sesijām: http://lv.php.net/manual/en/ref.session.php

Laba tehnika ir tāda tehnika, 1) kuras izmaksas (fiksētās izmaksas sadalot plānotajā izmantošanas termiņā un pieskaitot klāt darbības izmaksas) ir mazākas par gūstamās peļņas daļu, kura netiktu gūta, ja netiktu izmantota šī tehnika. 2) kura spēj nodrošināt datubāzes (šajā gadījumā) piekļuves ātrumu/glabāšanai nepieciešamo telpu (gan disku, gan operatīvās atmiņas)/atbilstošu tīkla pieslēguma iekārtu saskaņā projektā izvirzītajām prasībām. Tātad, piemēram, manam mājas projektam: Laba tehnika varētu būt 5 gadus vecs parasts dators. Par mySQL optimizāciju: http://hackmysql.com/documents

Atkarībā no tā, cik labi optimizēta būs tabula, nebremzēs. Un pie lieliem apjomiem arī apakšā esošā tehnika ir liela.

Īsāk sakot: Norādi sava domēna DNS serverī, kurā IP adresē atrodas par tavu domēnu atbildošais web serveris. Vai tas jādara caur nic.lv, vai caur citurieni - atkarīgs, kā nicā reģistrēts tavs domēns. Ja ir jautājumi - izlasi par to, kā darbojas DNS. Kad to esi izdarījis, tad nokonfigurē savu web serveri, lai tas pieņemtu pieprasījumus, kas nāk uz tavu domēnu. Ja gribi, lai tikai kāda konkrēta direktorija tavā domēnā atrastos uz cita servera, tad jānokonfigurē pamatserveris, lai tas dod location headeri uz īsto web serveri. īsi nesanāca. Izlasi par DNS, izlasi par web servera konfigurēšanu, izlasi par pārsūtīšanu.