Siguria e aplikacioneve është një nga elementët që shqetëson më shumë programuesit dhe që duhet marrë me shumë seriozitet. Vrimat e sigurisë mund t’i lënë mundësi sulmuesit të marrë informacione të rëndësishme nga sistemi (fjalëkalime, emaile, etj) apo thjeshtë ta nxjerrin atë jashtë funksionimit normal. Një programues duhet të paktën të zotërojë bazat e sigurisë, në mënyrë që aplikacionet që ai krijon të jenë të sigurta nga sulmet e rëndomta. Një nga masat e rëndësishme për një aplikacion të sigurt dhe tema e këtij artikulli është kriptimi i fjalëkalimeve, në mënyrë që mos të bien në duar të gabuara. Le ta shtjellojmë më tej.

- Problemet e fjalëkalimeve të pa kriptuar -

Le të supozojmë që kemi një aplikacion ku për të pasur akses në zona të caktuara, përdoruesit duhet të regjistrohen në faqe me një e-mail dhe fjalëkalim. Pra unë jam përdorues dhe regjistrohem me fjalëkalimin “web12345” duke menduar se të dhënat janë të sigurta. Ndërkohë një sulmues tenton të gjejë vrima sigurie në sistem dhe arrin t’i gjejë duke përdorur një teknike shumë të përhapur (fatkeqësisht) si SQL Injections. Në dorën e sulmuesit është e gjithë tabela e përdoruesve me e-mailet e tyre dhe fjalëkalimet, duke i dhënë mundësi të identifikohet në sistem si kushdo përdorues. Imagjinoni që sistemi në fjalë të jetë për të blerë produkte! E gjithë kjo mund të parandalohej nëse kriptohej fjalëkalimi, pa harruar gjithashtu edhe vrimat ndaj SQL Injections.

- Çfarë është kriptimi? -

Kriptografia është shkenca e fshehjes së informacionit, në mënyrë që të lexohet vetëm nga personat apo sistemet që dinë ta dekriptojnë mesazhin. Për këtë artikull, ne na intereson më tepër një fushë e kriptografisë, që merret me kriptimin Hash, veçanërisht me funksionet një-krah. Duke i dhënë një vlerë për tu kriptuar, funksionet Hash një-krah gjenerojnë një fjalë me madhësi të caktuar e cila është e pamundur të dekriptohet në vlerën origjinale.

- MD5 -

MD5 (Message-Digest algorithm 5) është një funksion Hash shumë i përdorur në web dhe zgjedhja për kriptim në shumë aplikacione të njohura. Fjala e gjeneruar është 128 bit e gjatë me 32 karaktere heksadecimale. Në shumë përdorime sensitive, MD5 është abandonuar sepse është provuar dobësia e tij, megjithatë për qëllimin tonë e bën punën më së miri. Në PHP egziston një funksion që quhet pikërisht md5(), i cili gjeneron Hash-in e një vlere. Provoni kodin e mëposhtëm:

$fjalekalimi = 'web12345';
$hash = md5($fjalekalimi);
echo $hash;

Nëse e egzekutoni kodin, në ekran do t’ju printohet fjala Hash e atij fjalëkalimi (egzaktësisht: 1bfe5bbf619681e49cdc62d07badc4cb).

Me siguri po pyesni veten se si ta dekriptojmë këtë fjalëkalim, kur MD5 është një funksion që gjeneron një fjalë të pa dekriptueshme. Zgjidhja është e thjeshtë. Bëjmë krahasime të fjalëve Hash. Le të marrim një shembull:

Një përdorues regjistrohet në sistem me fjalëkalimin “nukegjendot”, i cili pas kriptimit me MD5 ruhet në databazë si c45f12cc8df8ad9b45141146e36200f2. Kur ky përdorues tenton të indetifikohet, ajo që do bëjmë është krahasimi i Hashit të ruajtur në databazë, me Hashin e fjalëkalimit që përdoruesi ka plotësuar. Një shembull në PHP:

//lidhja me databazen nuk perfshihet ne kete shembull
$emri = mysql_real_escape_string($_POST['emri']); //vlera e marre nga forma dhe e pastruar per tu futur ne query
$fjalekalimi = $_POST['fjalekalimi']; //vlera e marre nga forma
$hash = md5($fjalekalimi); //kriptojme fjalekalimin e futur

$rezultatet = mysql_query("SELECT id FROM perdoruesit WHERE emri='$emri' AND fjalekalimi='$hash'"); //kerkojme ne databaze nese ky emer dhe hash egziston
if(mysql_num_rows($rezultatet) == 1){ //nese ky if() eshte i vertete, te dhenat jane te sakta
 echo 'Te dhenat jane te sakta';
}

Shembulli më sipër është rasti më i thjeshtë i krahasimit të Hashit të fjalëkalimit me atë të ruajtur në databazë. Kjo teknikë vlen edhe për funksionet e tjera një-krahësh.

- SHA1 -

Ashtu si MD5, edhe SHA1 (familja SHA – Secure HAsh Standart) gjeneron një fjalë të pa dekriptueshme, por gjatësia e të cilës është 160 bit dhe 40 karaktere heksadecimale. SHA1 konsiderohet më i sigurt se MD5 në përgjithësi, edhe pse dobësi sigurie janë gjetur në të. Megjithatë, ashtu si MD5, për qëllimin tonë ky funksion e bën punën më së miri. PHP ofron një funksion sha1() për të gjeneruar fjalë të kriptuara. Konsideroni shembullin e mëposhtëm.

$fjalekalimi = 'web12345';
$hash = sha1($fjalekalimi);
echo $hash;

Nëse e egzekutoni kodin, do t’ju shfaqet kjo fjalë e kriptuar: 20d5b81872a334e86183db3dcd108717d182ffdf. Kë doni të zgjidhni midis MD5 dhe SHA1 mbetet tërësisht në dorën tuaj dhe asnjëri nuk ofron ndonjë avantazh mbi tjetrin për qëllimin tonë. Une personalisht kam zgjedhur të perdor SHA1, pa ndonjë arsye specifike.

- Siguria e funksioneve Hash një-krahësh dhe Salt -

Megjithëse teknikat MD5 dhe SHA1 janë praktikisht të pa kriptueshme, siguria sërish nuk është maksimale sepse egzistojnë mënyra për të gjetur vlerën e kriptuar. E di që mund t’ju duket e pamundur, por teknikat për “dekriptim” janë shumë të thjeshta. Le të marrim një shembull të thjeshtë për ta ilustruar.

Shumë përdorues përdorin fjalëkalime të thjeshta që mund të jenë edhe fjalë fjalori në rastin më të keq. Sulmuesi i cili ka arritur të gjejë fjalëkalimet te kriptuara, përdor një lloj “fjalori” (Rainbow Tables) me një numër masiv fjalësh dhe kombinime abstrakte gërmash të kriptuara në MD5 apo SHA1 dhe krahason Hashin e gjetur me to. Pra, ashtu si sistemet që ne kodojmë krahasojnë një Hash me një tjetër Hash të ruajtur në databazë, sulmuesi krahason një Hash me qindra mijëra (apo miliona) Hashe të tjera. Që një “fjalor” të jetë efikas duhet të përmbajë praktikisht të gjitha fjalët e fjalorit dhe miliona kombinime gërmash, numrash dhe karakteresh speciale të cilat do e bënin kërkimin të vështirë dhe të gjatë. Megjithatë, shumë fjalëkalime janë thyer në këtë mënyre. Atëherë si të rrisim sigurinë? Fare e thjeshtë; përdorim një Salt.

Salt është një fjalë që i shtohet fjalëkalimit dhe kriptohet së bashku me të, në mënyrë që rezultati përfundimtar të jetë i ndryshëm nga ai që pritet. Ta ilustrojmë me një kod PHP, sepse me fjalë mund të ngjajë me komplekse se në realitet.

$fjalekalimi = 'web12345';
$salt = 'internet';

echo md5($fjalekalimi); //1bfe5bbf619681e49cdc62d07badc4cb
echo md5($fjalekalimi . $salt); //597e5797991d2236256015b3af004693

Fjalëkalimit i kemi ngjitur një fjalë arbitrate (internet) e cila e modifikon tërësisht Hashin përfundimtar, duke e bërë fjalën të pa gjatshme në “fjalorët” e sipër përmendur pa njohur Saltin. Përmbajtja e Saltit është në dorën e programuesit dhe fantazia e tij. Mund të jetë një fjalë statike, emri i përdoruesit, një fjalë e rastësishme që ruhet në databazë, etj.

- Një mënyrë personale kriptimi -

Përmbajtja e kësaj pike është thjeshtë një mënyrë alternative kriptimi i fjalëkalimeve (e-maileve apo të tjera të dhëna sensitive) e cila ka të bëjë me krijimin e algoritmeve personalë për kriptim. Nëse krijoni sisteme me kod të hapur (Open Source), as mos e mendoni këtë alternative sepse do të ishte shumë e lehtë të gjehej algoritmi. Edhe në rast të kundërt, merreni parasysh vetëm për arsye edukative.

Kodi i mëposhtëm përdor një algoritëm fare të thjeshtë (ndoshta më i thjeshti në botë) enkriptimi dhe dekriptimi.

function enkripto($fjalekalimi){
 $alf = range('a', 'z');
 $fjalekalimiRi = '';
 for($i = 0; $i < strlen($fjalekalimi); $i++){
 if($fjalekalimi[$i] <= 126){
 $chr = ord($fjalekalimi[$i]);
 } else{
 $chr = $fjalekalimi[$i];
 }
 $rand = rand(0, count($alf)-1);
 $fjalekalimiRi .= $chr . $alf[$rand];
 }
 return strtoupper($fjalekalimiRi);
}

function dekripto($kriptimi){
 $fjalekalimi = '';
 $temp = '';
 for($i = 0; $i < strlen($kriptimi); $i++){
 if(is_numeric($kriptimi[$i])){
 $temp .= $kriptimi[$i];
 } else{
 $fjalekalimi .= chr($temp);
 $temp = '';
 }
 }
 return $fjalekalimi;
}

echo enkripto('web12345');
echo dekripto('119T101N98G49T50Z51Z52H53D');

Nëse akoma nuk e keni kuptuar se si ky algoritëm fare i thjeshtë funksionon, po ju them 2 fjalë. Fjalëkalimi kalohet gërmë për gërmë, e cila konvertohet në ekuivalentin në kod ASCII. Pas konvertimit, secilës gërmë i shtohet një karakter i rastësishëm i alfabetit, në mënyrë që të bëhet paksa më kriptik leximi. Dekriptimi po ashtu është i thjeshtë, ku lexohet fjala e kriptuar dhe skanohet gërmë për gërmë (numër për numër). Numrat ndahen nga gërmat për të përftuar kodet ASCII të cilat konvertohen në karaktere. Si thashë, algoritmi i kriptimin më i thjeshtë në botë.

Zbuluam dhe ilustruam teknikat më të përdorura në internet për kriptimin e fjalëkalimeve. Shpresoj t’ju kem dhënë një ide të mirë për funksionimin e tyre dhe t’ju kem treguar rëndësinë e kriptimit për siguri më të lartë. Nëse keni pyetje apo sygjerime mbi ato që janë shkruar në këtë artikull, jeni të lirë të komentoni. Teknikat alternative janë shumë të mirëpritura.

Siguria e fjalekalimeve është një postim nga: RomeoLab.Com

PHP është ndoshta teknologjia për web më e njohur e më e përdorur, por gjithashtu edhe më e përfolura. Deri në vitet e fundit, PHP është konsideruar si një gjuhë programimi për web e drejtuar tek fillestarët. Gjërat për fat të mirë kanë ndryshuar, por shumë programues kanë mbetur në disa standarte që janë pikërisht ajo që i ulën reputacionin PHP-së. Fundja, çfarë rëndësie ka fuqia e gjuhës kur programuesi nuk di ta shfrytëzojë? Një pyetje retorike që i drejtohet kujtdo (përfshirë mua) për t’i stimuluar të kodojnë me standarte. Le të spostohemi në thelbin e temës e të diskutojmë disa mënyra që do t’ju ndihmojnë të kodoni më mirë.

- Krijoni një mjedis pune të përshtatshëm -

Të shkruash kodin është në thelb pjesa më e rëndësishme e punës së një programuesi, por shpesh anashkalohen disa elementë dytësore që mund të rrisin produktivitetin tuaj apo të ekipit ku merrni pjesë. Hapi i parë dhe baza e mjedisit ku punoni është editori. Ndërkohë që disa janë të kënaqur me Notepad, mund ta merrni me mend që opsione si: ngjyrosja e kodit, plotësimi automatik dhe udhëzimi i kodit, menaxhues i integruar skedarësh, etj, janë jetikë për të shpejtuar dhe përmirësuar punën tuaj. Provoni programe si Dreamweaver, Aptana Studio, Zend Studio e Eclipse PDT dhe zgjdhni atë që ju pështatet më së miri.

Një tjetër detaj që programusit e anashkalojnë është konfigurimi i serverit, më saktësisht konfigurimi i vetë PHP-së. Askujt s’i bën keq të njohë disa rregulla kryesore të Apache, të konfiguroje serverin e databazës për ta përshtatur me aplikacionin që po krijon apo të konfigurojë PHP-në për ta bërë më të sigurt e mos t’i krijojë vetes probleme në të ardhmen.

- Fillimi i mbarë, gjysma e punës: Taget PHP -

Për të shkruar kodin PHP, ju ofrohen disa alternativa, ndër të cilat:

<?php $a = $b + $c; //stili i rregullt ?>
<? $a = $b + $c; //stili i shkurtuar ?>
<% $a = $b + $c; //stili ASP %>
<script language="php">$a = $b + $c; //nuk e di pse kjo egziston!</script>

Secili nga stilet e shënuara më sipër është në rregull për veten e tij, por përdorimi i stilit të parë do ju sigurojë kompatibilitetin në çdo lloj konfigurimi të serverave dhe në versionet e ardhshme të PHP-së (në versionin 6, taget e shkurtra nuk suportohen).

- Komentet nuk harxhohen -

Komentet dhe shënimet janë jetësore jo vetëm në programim, por në shume aktivitete ku memorja s’mund t’ja dalë e vetme. Ju siguroj që një kod i shkruar sot, pas 6 muajsh do ju duket totalisht abstrakt nëse nuk e keni komentuar mirë. Mos i harxhoni vetes kohë duke ju rikthyer një kodi sa herë duhet ta modifikoni, por përdorni komentet me shumicë. PHP ofron tre mënyra për të komentuar kodin.

Komentet në rrjesht të vetëm

$a = $b + $c; //ketu llogaris vleren e variables $a
echo $a; #ketu printoj variablen $a. Ky lloj komenti (stili Perl) nuk keshillohet

Komentet në shumë rrjeshta

/*
Ky funksion kthen shumen e dy numrave.
Perdorimi: echo mblidh(5, 7);
Ketu po shtoj nje rrjesht te trete
*/
function mblidh($b, $c)
{
 return $b + $c;
}

- Hapësirat qarkullojnë ajrin -

Krahas komenteve (të cilat i diskutuam më sipër), hapësirat janë një element shumë i rëndësishëm për leximin e kodit. Konsideroni të keni një kod si më poshtë e t’i riktheheni pas 3 muajve. Kodi është fare i thjeshtë, e përsëri krijon konfuzion.

function saParaKam($para)
{
switch($para){
case 50:
echo 'Te dalin per nje kafe';
break;
case 100:
echo 'Mund te pish disa birra';
break;
case 1000000000:
echo 'Si te shkon jahti?';
break;
}
}
saParaKam(100);

Ndërsa duke përdorur hapësira, mund ta lexoni shume thjeshtë e të kuptoni pothuajse menjëhere funksionin e tij.

function saParaKam($para)
{
 switch($para){
 case 50:
 echo 'Te dalin per nje kafe';
 break;

 case 100:
 echo 'Mund te pish disa birra';
 break;

 case 1000000000:
 echo 'Si te shkon jahti?';
 break;
 }
}

saParaKam(100);

- HTML mbetet HTML -

Praktika standarte thotë se kodi PHP duhet ndarë nga ai HTML, në mënyrë që të ndahet logjika (PHP) nga prezantimi (HTML). Kjo është më se e vërtetë dhe duhet respektuar aty ku është e mundur. Konsideroni shembujt më poshtë.

Këtu printojmë HTML-në me PHP

$var = 'Ky eshte nje tekst';
echo '<div>';
echo $var;
echo '</div>';

Ndërkohë që kodin më sipër mund ta shkruajmë fare lehte ne këtë mënyrë:

<?php $var = 'Ky eshte nje tekst'; ?>
<div><?php echo $var; ?></div>

Si mund ta shihni, lexohet më lehtë dhe e ndan më së miri prezantimin nga logjika. Megjithatë ka raste ku ndarja është e vështirë apo nuk leverdis, kështu që nuk ka asgjë të keqe të printoni HTML përmes PHP-së. Kur e bëni, të paktën zbatoni standartet e HTML-së.

Kodim që nuk respekton standartet e XHTML-së sepse atributet duhet të rrethohen nga thonjëza dyshe.

echo "<div class='njeDiv'>Ky eshte <span style='font-weight:bold;'>nje</span> tekst</div>";

Kodi i mësipërm duhet të shkruhet në këtë mënyrë (e dalloni ndryshimin e thonjëzave?):

echo '<div>Ky eshte <span style="font-weight:bold;">nje</span> tekst</div>';

- Vendosini emrin -

Emrat e variablave, konstanteve, funksioneve e klasave duhet të përshkruajnë veten sa më mirë, në mënyrë që mos ta mendoni 2 herë se cili është funksioni i tyre. Mundohuni të zgjidhni emra sa më të përshtatshëm e të shkurtur sa është e mundur.

Variabla si ato qe kam përdorur deri tani unë në kod s’kanë asnjë lloj kuptimi, por për arsye demonstrimi janë në rregull. Në një aplikacion të vërtetë, variabla si: $var1, $var2, $a, $b, mundohuni ti shmangni. Ide e mirë është të përdorni emra si: $shuma, $rezultati, $numriRreshtave, etj.

- Objektet janë miku juaj më i mirë -

Objektet janë një temë për programues me eksperiencë sepse ka vërtetë shumë gjëra të pëfshira. Nuk mjaftojnë njohuritë bazë mbi sintaksën apo disa aplikacione që mund të keni koduar. Duhen njohuri të forta mbi funksionimin e objekteve dhe mbi të gjitha, aftësi analizuese për të veçuar pjesëzat e ndryshme. Në këtë seksion do kisha shumë për të folur, kështu që po e lë për një arikull të dedikuar. E vetmja këshillë që mund t’ju jap është të investoni sa mundeni në kodimin me objekte sepse jo vetëm do keni një kod të rregullt e të lexueshëm, por do rrisni produktivitetin tuaj me disa faktorë.

Shpresoj t’ju kenë shërbyer këshillat e mia e t’ju ndihmojnë të bëheni programues sa do pak me të rregullt. PHP-ja është një botë e bukur dhe e madhe, në të cilën të gjithë kemi shumë për të zbuluar.

Nëse shihni diçka që nuk shkon në artikull, keni pyetje apo thjeshtë doni të thoni fjalë të mirë, mos hezitoni të komentoni.

PHP – Praktikat e Kodimit të Rregullt është një postim nga: RomeoLab.Com