Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> szyfrowanie logowania
TopGun
post
Post #1





Grupa: Zarejestrowani
Postów: 16
Pomógł: 0
Dołączył: 24.01.2007

Ostrzeżenie: (0%)
-----

No wiec zabralem sie za tworzenie skryptu logowania i mam maly zgrzyt. Otoz w bazie haslo koduje za pomoca password('haslo') i nijak nie wiem jak porownac to haslo z moim wpisanym oraz jak zakodowac haslo wpisywane w formularzu by siecia szlo juz zakodowane? Ponizej moj skrypcik.

[PHP] pobierz, plaintext 
  1. <?php
  2. include ("baza.inc");
  3. $sql_szukaj = "SELECT * FROM users WHERE login = 'admin' and pass = password('admin1234')";
  4. $res_szukaj= @mysql_query($sql_szukaj, $connection) or die("Zapytanie usera nieudane");
  5. if($res_szukaj)
  6. {
  7. 	$sql_dodaj_admina = "insert into users (login, pass, user, uprawnienia) values ("admin", password('admin1234'), "Administrator", "3")";
  8. 	$res_dodaj_admina= @mysql_query($sql_dodaj_admina, $connection);// or die("Zapytanie dodania admina nieudane");
  9. }
  10.  
  11. if(!(isset($_POST['login'])) && !(isset($_POST['haslo'])))
  12. {
  13. 	echo "<FORM action="index.php" method="post">
  14. 		Login:
  15. 		<input type="text" name="login" /><BR/>
  16. 		Hasło:
  17. 		<input type="password" name="haslo" /><BR/>
  18. 		<input type="submit" name="Zaloguj" /><BR/></FORM>";
  19. }
  20.  
  21. if(isset($_POST['login']) && isset($_POST['haslo']))
  22. 	{
  23. 		$login_porownaj=$_POST['login'];
  24. 		$haslo_porownaj=$_POST['haslo'];
  25. 		$haslo = crypt($haslo_porownaj);
  26. 		$sql_porownaj = "SELECT * FROM users WHERE login = 'jarek' ";
  27. 		$res_porownaj = @mysql_query($sql_porownaj, $connection) or die("Zapytanie porownania do bani");
  28. 		while ($row = mysql_fetch_array($res_porownaj))
  29. 		{
  30. 			$password = $row['pass'];
  31. 			echo "$password <BR>
  32. 					$haslo_porownaj<BR>
  33. 					$haslo<BR>";
  34. 		}
  35. 		if ($password == $haslo_porownaj)
  36. 		{
  37. 			echo "zalogowales sie";
  38. 		}
  39. 		else
  40. 		{
  41. 			echo "zle dane";
  42. 		}
  43. 	}
  44. ?>
[PHP] pobierz, plaintext


niby funkcja crypt() po stronie php koduje hasla ale z tego co mi wyswietla to za kazdym razem jest inna wartosc. Jakas podpowiedz?

Ten post edytował TopGun 25.01.2007, 11:07:21
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
a ja zadam pytanie: czemu ma sluzyc hashowanie po stronie klienta?
Rozwazmy sytuacje: masz juz to hashowanie u klienta. Klient sie loguje, wysyla haslo shashowane. Siedzi sobie teraz taki hackier i nasluchuje co wysyla ludek. Przechwytuje shashowane haslo, zaraz potem wysyla identyczne rządanie logowania i mimo ze haslo bylo shashowane to i tak sie zaloguje. teraz moze robic na koncie klienta co dusza zapragnie.
Go to the top of the page
+Quote Post
My4tic
post
Post #3





Grupa: Zarejestrowani
Postów: 260
Pomógł: 0
Dołączył: 4.08.2005

Ostrzeżenie: (0%)
-----

Cytat(nospor @ 26.01.2007, 11:58:04 ) *
a ja zadam pytanie: czemu ma sluzyc hashowanie po stronie klienta?
Rozwazmy sytuacje: masz juz to hashowanie u klienta. Klient sie loguje, wysyla haslo shashowane. Siedzi sobie teraz taki hackier i nasluchuje co wysyla ludek. Przechwytuje shashowane haslo, zaraz potem wysyla identyczne rządanie logowania i mimo ze haslo bylo shashowane to i tak sie zaloguje. teraz moze robic na koncie klienta co dusza zapragnie.



...myślę, że jednak jest jakiś plus takiego rozwiązania jednak tak jak pisałem wcześniej - moim zdaniem nie warto się tym bawić. Załóżmy, że hacker sniffuje sieć i przechwytuje pakiety. Kiedy wysyłasz żądanie logowania hacker dostaje tylko hash - nie zna jawnego hasła co przy świadomości bezpieczeństwa użytkowników internetu jednak ma jakieś znaczenie - większość osób ma pewnie takie samo hasło na forum, takie samo do maila, serwera czy wielu innych. Przechwytując login i hasło wystarczy władować nick usera do google i pewnie znajdzie się jeszcze parę serwisów gdzie używa tego samego hasła. Wysyłając hash - zabezpieczasz się przed tym jednak po to jest SSH żeby go używac jeśli jest potrzebne.
Go to the top of the page
+Quote Post

Posty w temacie
- TopGun   szyfrowanie logowania   25.01.2007, 10:40:50
- - My4tic   1. Używaj odpowiednich tagów do wstawiania kodu na...   25.01.2007, 11:04:12
- - TopGun   Dzieki za podpowiedz, uzylem wlasnie md5 i dziala ...   25.01.2007, 14:12:52
- - My4tic   Mógłbyś zakodować hasło w MD5 po stronie klienta p...   25.01.2007, 17:27:38
- - TopGun   Na sieci znalazlem implementacje po stronie klient...   26.01.2007, 09:18:30
- - maryaan   powiedz mi jak chcesz zastosowac po stronie klient...   26.01.2007, 11:15:26
- - TopGun   Hmm...tez prawda Wiec pozostaje mi implementacja ...   26.01.2007, 11:53:34
- - nospor   a ja zadam pytanie: czemu ma sluzyc hashowanie po ...   26.01.2007, 11:58:04
|- - My4tic   Cytat(nospor @ 26.01.2007, 11:58:04 )...   26.01.2007, 13:07:08
- - nospor   Cytatwiększość osób ma pewnie takie...   26.01.2007, 13:22:25

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 20:17
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn