Итак, я не являюсь разработчиком бэкэнд, но мне нужно разработать базовый пароль. (Совершенно необоснованный) клиент специально сказал, что ему нужен только ввод пароля. Никакое имя пользователя или какая-либо другая информация не может быть передана. Поскольку нет ни одного пользователя, есть только один пароль, который я закодировал непосредственно в скрипте. Выглядит что-то наподобие:Основная проблема безопасности PHP
$password = $_POST['password']
if ($password == 'mypass') {
do something....
}
Является ли это уязвимым для какой-то инъекции? Есть ли еще какие-то огромные дыры в безопасности, о которых я должен беспокоиться?
Вы можете сравнить хешированный проход с заранее вычисленным хэшем вместо открытого текста, но если кто-то может прочитать ваш источник, чтобы найти проход, у вас уже есть большие проблемы. :-) – Wiseguy
Надеюсь, что если вы отправляете пароль по проводу, вы, по крайней мере, используете SSL. –