[PHP][MySQL]Logowanie do mysql i kodowanie, Zabezpiecznie dostępu do bazy z przeglądarki Opcje

[Astronovi]

witam, mam takie dwa problemy

1) piszę sobie portal z logowaniem
łączę się z bazą w której bedą uzytkownicy, dane itp..itd...
padają "magiczne" plecenia dostępu do bazy i tu mam problem

polecenie mysql_connect('serwer', 'user', 'hasło');
jest w jakimś pliku php np. połączenie.php, który jest widoczny z poziomu przeglądarki
a więc każdy kto trochę się zna może mi taki plik ściągnąć,podejrzeć i po mojej bazie z użytkownikami

jak to zabezpieczyć?
jak to robicie?


2) hasła uzytkowników powinny być zabezpieczone
chcę by to było zabezpiecznie z kodem blowish

w manualu php crypt jest dosyć trudno napisane o blowish
nie wiem gdzie to salt umieścić a gdzie nie,
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)

czy ktoś może mi podać konkretny przykład z tym blowishem?

[drPayton]

(...)
z md5 nie ma problemu po prostu pisze się $zakodowane_hasło = md5($haslo);
podobne z crypt() - po prostu crypt($hasło)
(...)

Mylisz się, takie rozwiązanie jest problemem. Rozwiązaniem jest właśnie "sól" + algorytm hashujący. Od biedy może być i md5.

W bazie wówczas trzymać musisz dwie informacje: sól (jakiś losowy string) + string, będący efektem hashowania "hasło+sól"). Najwygodniej chyba w 2 oddzielnych kolumnach.

Wtedy:
1. Wpisanie hasła użytkownika (przy dodaniu nowego, czy edycji hasła starego):
- generujesz sól (losowy string np 20 znaków), robisz hash(sól.hasło_użytkownika) [np md5, sha1 etc]. Sól zapisujesz do kolumny "sól", hash do kolumny "hasło"

2. Sprawdzenie poprawności danych logowania:
a. sprawdzasz, czy istnieje user o podanym loginie. Jeśli tak - pobierasz jego "sól", łączysz z podanym przez niego hasłem i hashujesz - ten hash porównujesz z tym zapisanym w bazie.

to wszystko (IMG:style_emoticons/default/smile.gif)