[MYSQL]Jak wyłąćzyć kodowanie haseł w bazie? Opcje

[assasin]

Jak wyłączyć kodowanie haseł w bazie?
Jeśli ktoś utworzy konto, hasło w bazie jest zakodowane...;/

[Riklaunim]

I takie ogólnie ma być

[decha-design]

Jak wyłączyć kodowanie haseł w bazie?
Jeśli ktoś utworzy konto, hasło w bazie jest zakodowane...;/

tylko z poziomu skryptu

I takie ogólnie ma być

dokładnie

[assasin]

Jak taki skrypt wygląda?
Chce wyłączyć dla PHP-Fusion 6.1.15 i Aardvark Topsites PHP.
Rejestracja dla ATS PHP:
Wklejam najważniejsze:

Kod

   $TMPL['error_username'] = '';
     $TMPL['error_style_username'] = '';
     $TMPL['error_password'] = '';
     $TMPL['error_style_password'] = '';
     $TMPL['error_url'] = '';
     $TMPL['error_style_url'] = '';
     $TMPL['error_email'] = '';
     $TMPL['error_style_email'] = '';
     $TMPL['error_title'] = '';
     $TMPL['error_style_title'] = '';
     $TMPL['error_banner_url'] = '';
     $TMPL['error_style_banner_url'] = '';
     $TMPL['error_top'] = '';
     $TMPL['error_style_top'] = '';
     $TMPL['error_captcha'] = '';
     $TMPL['error_style_captcha'] = '';
     $TMPL['error_question'] = '';
     $TMPL['error_style_question'] = '';

Kod

[/b][b]if ($this->check_ban('join')) {
       if ($this->check_input('join')) {
         $password = md5($FORM['password']);[/b][b]

Kod

[/b][b] require_once("{$CONF['path']}/sources/in.php");
        $short_url = in::short_url($TMPL['url']);
$DB->query("INSERT INTO {$CONF['sql_prefix']}_sites (username, password, url, short_url, title, description, category, banner_url, email, join_date, active, openid, user_ip)
   VALUES ('{$TMPL['username']}', '{$password}', '{$TMPL['url']}', '{$short_url}', '{$TMPL['title']}', '{$TMPL['description']}', '{$TMPL['category']}', '{$TMPL['banner_url']}', '{$TMPL['email']}', '{$join_date}', {$CONF['active_default']}, 0, '{$user_ip}')", __FILE__, __LINE__);
        $DB->query("INSERT INTO {$CONF['sql_prefix']}_stats (username) VALUES ('{$TMPL['username']}')", __FILE__, __LINE__);[/b][b]

Może coś tutaj usunąć?


Ten post edytował assasin 24.12.2008, 22:42:50

[than]

Funkcja md5 jest odpowiedzialna za szyfrowanie.

Ten post edytował than 24.12.2008, 22:52:06

[dr_bonzo]

1. Nie chcesz trzymac odkodowanych hasel w bazie
2. usuwasz md5() przy zapisie, i md5() przy porownywaniu hasel przy logowaniu (nie znam skryptu wiec musisz to zrobic we wlasnym zakresie)
3. patrz punkt 1

[decha-design]

1. Nie chcesz trzymac odkodowanych hasel w bazie

serio =))

Ale jak chcesz poznać hasla użytkownikow - nie wiem po kiego =) możesz zrobić, że podczas rejestracji hasła będą lądować razem z id użytkownika do jakiegoś pliku .txt ...

[assasin]

OO jak to zrobić??
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.

Ten post edytował assasin 24.12.2008, 23:18:17

[decha-design]

OO jak to zrobić??

poczytaj manual fwrite" title="Zobacz w manualu PHP" target="_manual

Wyłączyłem kodowanie;p czy taka baza może być zagrożona?

tak i to nawet nie zdajesz sobie sprawy jak =))

oczywiście jak nikt nie posiada hasła.

nie bardzo rozumiem

[ultra_18]

OO jak to zrobić??
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.

to może wiąząć w sobie inne następstwa, ponieważ żeby zrobić taki zabieg trzeba poznać dokładnie skrypty z powodu "odkodowania hasel" nie beda mogli sie zalogowac starzy lub nowi userzy może też byc problem przy zalogowaniu jeżeli hasła są przechowywane w ciasteczkach lub sesjach i inne komplikacje wiec radze ci powrócić stan skryptu do pierwotnej postaci i ewentualnie "nałożyć nakładkę" na skrypt zapisujaca hasła w pierwotnej postaci do bazy lub do pliku ale prawdopodobnie nie dasz rady tego zrobić więc lepiej daj sobie spokój z hackowaniem włąsnego skryptu i ewentualnie używaj strony http://md5.rednoize.com do "odkodowania" niektórych prostych haseł

[decha-design]

używaj strony http://md5.rednoize.com do "odkodowania" niektórych prostych haseł

albo trudnych hasel znajdujących się w ich bazie danych ... chociaż bardziej polecam http://rafal.jelito.org/md5.php

[assasin]

Chce żeby było bezpiecznie, ale chce też widzieć hasła użytkowników;/

[decha-design]

dostałeś już dużo odpowiedzi, podpowiedzi - jak zwał tak zwal ...

teraz pomyśl co przeczytaleś i wyskrob jakiś skrypt sam ... my Ci go NIE NAPISZEMY ... true evil ^^

[potreb]

Równie dobrze możesz prowadzić inwigilację swoich userów, ponieważ zapewne część podaje takie samo hasło jak do emaila

[ultra_18]

Chce żeby było bezpiecznie, ale chce też widzieć hasła użytkowników;/

Haslem w bazie już i tak nie zobaczysz chyba że cześć odhashujesz ale to max 10% , a jeżeli chcesz zobaczyć hasła nowych to musisz dodać fragment kodu do formularza rejestracji w zasadzie wystarczy tylko funkcja file_put_contents nic trudnego , jednak nie licz na gotowy kod bo raczej go nie dostaniesz a jeżeli dostaniesz to i tak nie dasz rady go zainstalować więc poducz sie podstaw tak bedzie najlepiej

[Astarot]

Zal, zal i jeszcze raz zal mi was

Jedyny czlowiek ktory ma cos sensownego do powiedzenia w tym jak i wielu innych tematach to dr_bonzo. Wielki szacunek dla tej osoby za wklad w php.pl, pomijam fakt zalowego tematu, kazdemu trzeba pomoc, naprowadzic/

Odnosnie kodowania, prawdopodobnie md5 (pole varchar 32znaki <: ?) ale.. powstaja wielkie bazy dostepne publicznie ktore rozkodowuja takie zapisy md5, zreszta wszyscy to "wala..." bedzie wyciek danych bedziesz sie martwil, albo i nie.. Serwis odnisie sukces? zatrudnisz programistow ktorzy zalatwia sprawe pozadnie [;. Robisz na zlecenie ? Wezmiesz dodatkowa kase za audyt bezpieczenstwa [;. Serwis stanie sie popularny i nastapi wyciek? Media zaczna trabic a PR zrobi swoje Same plusy, wiec nie martw sie na zapas, spojz na swoje problemy szerzej