Drukowana wersja tematu

Kliknij tu, aby zobaczyć temat w orginalnym formacie

Forum PHP.pl _ Przedszkole _ [MySQL][PHP]hasło generowanie

Napisany przez: dave666 14.07.2019, 14:22:25

Witam czy ktoś mógłby mi wytłumaczyć w jaki sposób jest tu pobierane hasło

[PHP] pobierz, plaintext 
$prawie = http://www.php.net/md5($_POST['pass']);
   $pass = http://www.php.net/md5($prawie.'1m&3S');
   if ($old[0] == $pass) { 
      $_SESSION['admin'] = 'ok';
   } else {
      http://www.php.net/echo"<center><font color='red'>Niepoprawne haslo sproboj ponownie</font>";
   }
[PHP] pobierz, plaintext

chce się dowiedzieć co ta linijka robi

[PHP] pobierz, plaintext 
$pass = http://www.php.net/md5($prawie.'1m&3S');
[PHP] pobierz, plaintext

Napisany przez: dublinka 14.07.2019, 14:31:11

To po kropce to tzw "sól" dodaje sie to do zwiekszenia bezpieczenstwa choc juz dawno md5() przestalo byc bezpieczne i powinno sie stosowac chocby password_hash().
Sól to tylko tobie znany coag znakow. Mozna dodac to np na poczatku lub koncu hasla.

Napisany przez: dave666 14.07.2019, 14:36:41

Czyli najpierw jest generowane hasło w md5 a później jest dodawana ta sól i jeszcze raz generowana i jest właściwe hasło ?

Jedak nie czy możesz mi to wytłumaczyć ? będę wdzięczny

trochę pokombinowałem i nie wiem czy dobrze myślę

[PHP] pobierz, plaintext 
<?php
$has = "1234";
$prawie = http://www.php.net/md5($has);
$pass = http://www.php.net/md5($prawie.'1m&3S');
http://www.php.net/echo $pass;
[PHP] pobierz, plaintext

Czyli najpierw $has jest zamieniany na md5 to po kropce zamieniane tez na md5 i dopiero łączone czy źle rozumiem

Napisany przez: viking 14.07.2019, 15:14:40

Nie. Do pierwotnego ciągu coś doklejasz. Natomiast jeszcze raz. Md5 od dawna się nie używa i nie ma sensu się przy tym upierać. Użyj co najmniej bcrypt.

Napisany przez: dublinka 15.07.2019, 07:41:53

Cytat(dave666 @ 14.07.2019, 14:36:41 )

[PHP] pobierz, plaintext 
<?php
$has = "1234";
$prawie = http://www.php.net/md5($has);
$pass = http://www.php.net/md5($prawie.'1m&3S');
http://www.php.net/echo $pass;
[PHP] pobierz, plaintext

Czyli najpierw $has jest zamieniany na md5 to po kropce zamieniane tez na md5 i dopiero łączone czy źle rozumiem

W tamtym przykladzie (w tym tez) jest przekombinowane bo 2x haslo jest mieszane.
Najpierw haslo jest mieszane a potem znowu mieszane ( to juz zamieszane za pierwszym razem) z solą.

Możesz zrobić np tak:

[PHP] pobierz, plaintext 
<?php
$logins = http://www.php.net/array(
 'user' => http://www.php.net/array('hash' => 'ae092...', 'salt' => 'a7#(ad~I$...'),
);
 
 
$user = http://www.php.net/strtolower(http://www.php.net/trim($_POST['user']));
$pass = $_POST['password'];
 
if(http://www.php.net/isset($logins[$user]) && http://www.php.net/crypt($logins[$user]['salt'].$pass, 'SHA-256') == $logins[$user]['hash']) {
   // login poprawny
} else {
 
http://www.php.net/exit('blad');
 
}
 
[PHP] pobierz, plaintext

Napisany przez: Pyton_000 15.07.2019, 09:41:15

Nie używamy crypt() do haseł tylko password_hash()