[PHP] Hashowanie hasła Opcje

[Kerth]

Cześć,
krótka piłka. Czym kodować(hashować) hasła? SHA1, MD5 czy połączenie tego?

[Pyton_000]

http://pl1.php.net/manual/en/function.crypt.php
Im silniejsze tym lepsze, i nie na pewno wymienione przez Ciebie

[Crozin]

PHP ≥ 5.5: http://www.php.net/manual/en/function.password-hash.php
PHP < 5.5: https://github.com/ircmaxell/password_compat

[redeemer]

bcrypt (Blowfish):

Dla PHP >= 5.5.0:
password_hash
password_verify

[Kerth]

A jak mam zrobić, żeby mi nie kodowało 2 różnych haseł?

[PHP] pobierz, plaintext 
$register->bindValue(":haslo",  crypt($haslo), PDO::PARAM_STR);
$register->bindValue(":haslo2", crypt($haslo2), PDO::PARAM_STR);
[PHP] pobierz, plaintext 

Pole bazie `haslo`->> $1$e0/.PG/.$lNIJVk/qR9OqR4wpBSSPG.
Pole bazie `haslo2`->> $1$s.1.FU2.$kCGONs2fi9OHh39B8QxUO0

Co zrobić, by w haslo2 było takie same hasło jak w haslo?

[Michael2318]

Byle nie md5 i koniecznie hasła z solą.
Ja polecam dla każdego usera tworzyć czas rejestracji w timestamp i zapisywać to userowi jako sól do hasła. W ten sposób każdy user ma inną sól.

[redeemer]

[PHP] pobierz, plaintext 
$crypted = crypt($haslo);
 
$register->bindValue(":haslo",  $crypted, PDO::PARAM_STR);
$register->bindValue(":haslo2", $crypted, PDO::PARAM_STR);
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/questionmark.gif) Zresztą to jest bez znaczenia, mogą być różne - w czym problem? No i po co Ci haslo i haslo2 w bazie?


Ten post edytował redeemer 3.07.2014, 22:06:26

[Kerth]

Byle nie md5 i koniecznie hasła z solą.
Ja polecam dla każdego usera tworzyć czas rejestracji w timestamp i zapisywać to userowi jako sól do hasła. W ten sposób każdy user ma inną sól.

Powiem Ci, że w zasadzie ja zapisuję datę rejestracji w datetime, przez co mam datę i godzinę rejestracji w jednym polu. Btw. to dobrze, że tak jest? A jeśli chodzi o takie połączenie daty w sól to mógłbyś podać jakiś mały przykład?

[PHP] pobierz, plaintext 
$crypted = crypt($haslo);
 
$register->bindValue(":haslo",  $crypted, PDO::PARAM_STR);
$register->bindValue(":haslo2", $crypted, PDO::PARAM_STR);
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/questionmark.gif) Zresztą to jest bez znaczenia, mogą być różne - w czym problem? No i po co Ci haslo i haslo2 w bazie?

W zasadzie to nie wiem po co ja jes zapisuje, przecież wystarczy tylko jedno.

[redeemer]

Wiele algorytmów ma wbudowaną obsługę soli, która jest zapisana w zwracanym hashu. Dlatego pomimo puszczenia tego samego stringa (hasła) poprzez takie funkcje jak password_hash, wyniki są różne.

Ten post edytował redeemer 3.07.2014, 22:15:46

[Kerth]

A jak ja mam to hasło odkodować?

[PHP] pobierz, plaintext 
$crypted_login = crypt($_POST['haslo']);
$login = $db->prepare("SELECT `nick`, `haslo` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$login->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$login->bindValue(":haslo",  $crypted_login, PDO::PARAM_STR);	
$login->execute();
 
$idlogin = $db->prepare("SELECT `id` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$idlogin->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$idlogin->bindValue(":haslo",  $crypted_login, PDO::PARAM_STR);	
$idlogin->execute();
[PHP] pobierz, plaintext 

(IMG:style_emoticons/default/questionmark.gif)

[Michael2318]

hashu sie nie odkodowuje tylko koduje hasło, ktore podaje user i sprawdza czy hashe sie zgadzają.

[Kerth]

[PHP] pobierz, plaintext 
if ($login->rowCount() == 1) 
{						
...
}
if ($idlogin->rowCount() == 1) 
{
...
}
[PHP] pobierz, plaintext 

Takie warunki mam do kodów powyżej. Więc jak mam sprawdzić czy jest takie samo. Nie rozumiem za bardzo tego.

[Kerth]

No to mam tak:

[PHP] pobierz, plaintext 
$pass_crypt = crypt($_POST['haslo']);
$login = $db->prepare("SELECT `nick`, `haslo` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$login->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$login->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
$login->execute();
 
$idlogin = $db->prepare("SELECT `id` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$idlogin->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$idlogin->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
$idlogin->execute();
[PHP] pobierz, plaintext 

i nadal nie loguje mi do konta.

[redeemer]

Polecam http://php.net/manual/pl/function.crypt.php

[Kerth]

Tyle mi zwraca:

1. Próba logowania:

[PHP] pobierz, plaintext 
string(5) "Kerth" string(34) "$1$5g..oE..$xKTUYQsNnm1RFq.SNdTvp0"
[PHP] pobierz, plaintext 

2. Próba logowania:

[PHP] pobierz, plaintext 
string(5) "Kerth" string(34) "$1$R73.GT/.$TcoBKLZYo3iJHm2Y0N4K61"
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
var_dump($_POST['nick']);
var_dump($pass_crypt);
[PHP] pobierz, plaintext 

nick jest w porządku tylko z hashem problemy. Ono za każdym razem wyświetla się inne(nie zgadza się z tym w bazie). Przy każdej próbie logowania inne.

Hasło w bazie:

$1$ZC3.uB/.$SQbz8cHGDUL1N9FMbujXP1

Ten post edytował Kerth 3.07.2014, 23:11:35

[redeemer]

Powtarzam: przeczytaj manuala, bo nie tak się sprawdza czy użytkownik podał prawidłowe "hasło" w przypadku crypt.

Ten post edytował redeemer 3.07.2014, 23:16:28

[by_ikar]

W manualu dla pasword_hash jest link do odpowiednika funkcji z php5.5 dla >=php5.3.7: https://github.com/ircmaxell/password_compat i w przykładach masz jak tego używać.

[Pyton_000]

Aby porównać hasła zakodowane metodą Crypt:

[PHP] pobierz, plaintext 
$crypted_login = crypt($_POST['haslo'], $zakodowane_haslo_z_bazzy);
if($crypted_login == $zakodowane_haslo_z_bazy {
// OK
} else {
//Kiszka
}
[PHP] pobierz, plaintext 

[Kerth]

A jak ja mam pobrać $zakodowane_haslo_z_bazzy ?

[Turson]

Jeżeli mówimy o logowaniu, to przecież musisz trzymać w bazie hasło, więc je pobierasz i porównujesz z wprowadzonym w formularzu.

Ten post edytował Turson 4.07.2014, 09:29:53