[PHP]Szyfrowanie/hashowanie od podstaw Opcje

[kropamk]

Witam.
Nie za bardzo rozumiem jak mam umieścić md5 w skrypcie aby wszystko działało poprawnie.

Rejestracja wygląda tak:

[PHP] pobierz, plaintext 
<?php
// DEKLARACJA ZMIENNYCH Z FORMULARZA //
	$username = $_POST['username'];
	$password = $_POST['password'];
	$password_confirm = $_POST['password_confirm'];
	$mail = $_POST['mail'];
 
// sprawdzenie czy zmienne zostaly wprowadzone
 
if($username&&$password&&$mail)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$duplicate = mysql_query("SELECT * FROM USERS WHERE login='$username' || mail='$mail'");
	$num_rows = mysql_num_rows($duplicate);
 
	if ($num_rows){
		echo "Podana nazwa użytkownika lub e-mail jest już w użyciu";
		return;
	}else
 
	$insertquery = "INSERT INTO users (Login, Password, Mail) VALUES ('$username','$password','$mail')";
if (!mysql_query($insertquery))
{
 
	die('Error: ' . mysql_error());
}
	echo "Dodano użytkownika";
 
} else
die("Nie można było dodać użytkownika, wypełnij pola poprawnie.");
 
mysql_close($connect)
?>
[PHP] pobierz, plaintext 

a logowanie tak

[PHP] pobierz, plaintext 
<?php
	$username = $_POST['username'];
	$password = $_POST['password'];
 
if($username&&$password)
{
	$connect = mysql_connect("localhost","root","haslo") or die ("Nie można się połączyć");
	mysql_select_db("baza", $connect) or die("Nie można znaleźć bazy danych");
 
	$query = mysql_query("SELECT * FROM users WHERE login='$username' && password='$password'");
 
	$numrows = mysql_num_rows($query);
 
	if ($numrows!=0)
	{
	$_SESSION['zalogowany'] = true;
    $_SESSION['username'] = $_POST['username'];
    $_SESSION['password'] = $_POST['password'];
 
	echo '<div id="message">Witamy '. $username .'. <a href="index.php">Powrót</a></div>';
 
	} else
	die("Nie ma takiego użytkownika");
 
} else
	die("Nieprawidłowy użytkownik lub hasło");
 
	mysql_close($connect)
?>
[PHP] pobierz, plaintext 

Będę wdzięczny za jakiekolwiek inne uwagi co do kodu.
Pozdrawiam.

[-Gość-]

MD5 (zwłaszcza bez soli) nie jest już bezpieczną metodą przechowywania haseł i już jej się nie powinno stosować. Najlepiej jakby hasło było przechowywane za pomocą SHA512 z solą unikalną dla każdego użytkownika. Można to zrealizować tak:

[PHP] pobierz, plaintext 
hash_hmac('sha512', $password_plaintext, $salt);
[PHP] pobierz, plaintext 

ciąg ma długość 128 znaków, czyli musi być w polu char(128)

Logowanie wygląda tak, że zadajesz zapytanie select wyszukujące po nazwie użytkownika (nie możesz od razu sprawdzać hasła bo żeby je dobrze wygenerować musisz mieć salt).

1. Może się wydawać to nadmiarowe, ale jak ktoś przełamie zabezpieczenia (nawet nie poprzez Twój błąd tylko kogoś innego) i dostanie twoją bazę danych w swoje ręce to takie zabezpieczenie będzie się wydawać o wiele mniej nadmiarowe. W idealnym świecie każdy ma osobne hasło do każdego serwisu, a hasło jest złożone z losowych znaków o dużych i małych literach. W rzeczywistości hasła użytkowników są o wiele bardziej słownikowe.
2. To że hash jest taki długi, nie powoduje że jest znacząco wolniejszy.