Author: Elettrico Date: To: hackmeeting Subject: Re: [Hackmeeting] problema con dati sensibili
gmail@??? scrisse: >
> così anche se si riuscisse a fare SQL Injection non si ariverebbe comunque
> a ricostruire la password in chiaro senza avere accesso ai sorgenti dei
> file..
>
sì ma anche con sqlinjecton voglio vedere uno che parte da una pwd
encodata con SHA1 e ne ricava la stringa originale.
dopodichè una qualsiasi roba messa in un posto X è sicura finchè non è
possibile leggerla, prendendo per assunto che tendenzialmente un modo
per leggere qualcosa lo si trova allora mettere un password al php non
ti rende sicuro di niente.
imho è meglio criptare in maniera abbastanza sicura quello che metti nel
db piuttosto che trovare soluzioni esoteriche che rischiano di esporti a
più punti di attacco.