jak usunąć salt + sh1, Chciał bym stworzyć proste logowanie Opcje

[lipek80]

Witam

Chciał bym się pozbyć zabezpieczenia salt z poniższego kodu. Chciał bym, aby można było się zalogować na stronie za pośrednictwem hasła które jest zapisane w bazie danych. Nie musi być zakodowane.

[PHP] pobierz, plaintext 
<?php
 
define('AL_ADMIN', 256);
 
$AL_NAME = array(
		AL_ADMIN => 'Administrator'
);
 
$REGISTER_DENY = array();
$REGISTER_DENY[] = "root";
$REGISTER_DENY[] = "admin";
$REGISTER_DENY[] = "administrator";
$REGISTER_DENY[] = "moderator";
$REGISTER_DENY[] = "system";
$REGISTER_DENY[] = "serwis";
 
@session_set_cookie_params(0);
@session_start();
 
include(dirname(__FILE__) . '/../salt/salt.php');
 
function user_login($login = null, $password = null, $encrypted = false) {
 
	global $db;
 
	if (func_num_args() == 0) {
 
		if (!my_login() || !my_password())
			return 'Nie odnaleziono informacji o koncie w bieżącej sesji';
 
		$login = my_login();
		$password = my_password();
	} else
		$password = $encrypted ? $password : salt($password);
 
	$user = $db->query("SELECT * FROM `users` WHERE LOWER(`login`) = LOWER('" . $db->escape_string($login) . "') AND `haslo` = '" . $db->escape_string($password) . "'")->fetch_assoc();
 
	if (!empty($user)) {
		if (!empty($user['zablokowany']))
			return 'Konto zablokowane';
		else if (!empty($user['usuniety']))
			return 'Konto usunięte';
	} else
		return 'Niepoprawny login / hasło';
 
	if (!my_id()) {
 
		my_logintime(time());
		my_lastactivity(time());
 
		@session_regenerate_id();
 
		$set = array();
		$set[] = "`ostatnia_aktywnosc` = '" . datetimeS(my_lastactivity()) . "'";
 
		$db->query("UPDATE `users` SET " . implode(',', $set) . " WHERE `id` = {$user['id']}");
	}
 
	my_id($user['id']);
	my_login($user['login']);
	my_password($user['haslo']);
 
	return true;
}
 
function loggedin() {
 
	if (user_login() === true)
		return true;
 
	return false;
}
 
function user_logout() {
 
	if (loggedin()) {
		my_id(null);
		my_login(null);
		my_password(null);
		my_logintime(null);
		my_lastactivity(null);
	}
}
 
function my_id($value = false) {
	/*
	 * @params: (none/false): return value
	 * @params: (null): unset value
	 * @params: (mixed) value: set (int) value
	 */
 
	if ($value === null)
		unset($_SESSION['my_id']);
	else if ($value !== false)
		$_SESSION['my_id'] = (int) $value;
 
	return isset($_SESSION['my_id']) ? $_SESSION['my_id'] : false;
}
 
function my_login($value = false) {
	/*
	 * @params: (none/false): return value
	 * @params: (null): unset value
	 * @params: (mixed) value: set value
	 */
 
	if ($value === null)
		unset($_SESSION['my_login']);
	else if ($value !== false)
		$_SESSION['my_login'] = $value;
 
	return isset($_SESSION['my_login']) ? $_SESSION['my_login'] : false;
}
 
function my_password($value = false) {
	/*
	 * @params: (none/false): return value
	 * @params: (null): unset value
	 * @params: (mixed) value: set value
	 */
 
	if ($value === null)
		unset($_SESSION['my_password']);
	else if ($value !== false)
		$_SESSION['my_password'] = $value;
 
	return isset($_SESSION['my_password']) ? $_SESSION['my_password'] : false;
}
 
function my_logintime($value = false) {
	/*
	 * @params: (none/false): return value
	 * @params: (null): unset value
	 * @params: (mixed) value: set value
	 */
 
	if ($value === null)
		unset($_SESSION['my_logintime']);
	else if ($value !== false)
		$_SESSION['my_logintime'] = $value;
 
	return isset($_SESSION['my_logintime']) ? $_SESSION['my_logintime'] : false;
}
 
function my_lastactivity($value = false) {
	/*
	 * @params: (none/false): return value
	 * @params: (null): unset value
	 * @params: (mixed) value: set value
	 */
 
	if ($value === null)
		unset($_SESSION['my_lastactivity']);
	else if ($value !== false)
		$_SESSION['my_lastactivity'] = $value;
 
	return isset($_SESSION['my_lastactivity']) ? $_SESSION['my_lastactivity'] : false;
}
 
function my_level() {
 
	if (!loggedin())
		return false;
 
	global $db;
 
	$r = $db->query("SELECT `level` FROM `users` WHERE `id` = " . my_id())->fetch_assoc();
 
	return $r ? $r['level'] : false;
}
 
function user_session() {
 
	global $db;
 
	if (!my_logintime() || !my_lastactivity())
		return false;
 
	if (my_id()) {
		my_lastactivity(time());
		$db->query("UPDATE `users` SET `ostatnia_aktywnosc` = '" . datetimeS(my_lastactivity()) . "' WHERE `id` = " . my_id());
	} else
		return false;
 
	return true;
}
 
function get_user($id, $opts = null) {
 
	$opts['where'][] = "`id` = '" . (int) $id . "'";
 
	$r = get_user_list($opts);
 
	return isset($r[0]) ? $r[0] : $r;
}
 
function get_user_list($opts = null) {
 
	$opts['select'][] = "*";
	$opts['from'][] = "`users`";
	if (empty($opts['order']))
		$opts['order'][] = "`id` DESC";
 
	return get_db_data($opts);
}
 
user_session();
?>
[PHP] pobierz, plaintext 

[Wazniak96]

Wystarczy nie podawać 3 parametru do funkcji user_login , a jeśli i to nie działa to skasuj linijkę 34.

[lipek80]

skasowałem 3cią zmienną
później linikę 34 i dalej bez efektu

czy hasło w bazie musi być zakodowane jako hs1 czy jako zwykłe hasło alfanumeryczne

edit:

Ustawiałem w bazie 3 rodzaje haseł:

-md5
-sh1
-(tekst)

żadne nie działa

Ten post edytował lipek80 6.05.2014, 14:51:48

[timon27]

A mógłbyś powiedzieć dlaczego chcesz obedrzeć kod z tak ważnej dla bezpieczeństwa funkcji?

[lipek80]

przejąłem administrację nad pewną stroną, a nie mam dostępu do panelu administratora.

Mam dostęp do bazy, do FTP ale co mi po tym jak panel admina jest zablokowany hasłem.

Chyba, ze jest jakiś sposób aby to obejść(IMG:style_emoticons/default/questionmark.gif)

[redeemer]

Jak masz dostęp do bazy to ustaw po prostu nowe hasło.

[johny_s]

Wygeneruj sobie nowe hasło, algorytm znasz

[lipek80]

Jak ustawie nowe w Bazie to nic nie daje.
Czy może mi ktoś w miarę prosty sposób wytłumaczyć jak to najlepiej rozwiązać?

johny_s Napisano Dzisiaj, 15:08
Wygeneruj sobie nowe hasło, algorytm znasz

Czy możesz mi powiedzieć jak wygenerować takie hasło?


Znalazłem coś takiego

http://online-code-generator.com/sha1-hash...tional-salt.php

czyli tak podaje swój klucz salt

przed lub po ?
czy wygenerowane hasło wpisuje do bazy?

Wykonałem:

Podałem salt wpisałem hasło a wygenerowany klucz md1 wpisałem do bazy danych. i niestety to nie działa.
Działanie wykonałem na kodzie z pierwszego posta.

Ten post edytował lipek80 6.05.2014, 16:41:12

[johny_s]

tworzysz sobie jakiś plik i w nim dodajesz

[PHP] pobierz, plaintext 
include(dirname(__FILE__) . '/../salt/salt.php');
echo salt('twoje_haslo');
[PHP] pobierz, plaintext 

i z palca aktualizujesz tabelke (oczywiscie przy zalozeniu ze ten salt jest jakis drętwy i nie korzysta przy okazji z bazy)

[lipek80]

To mój plik salt który był

[PHP] pobierz, plaintext 
<?php
 
function salt($password) {
 
	$salt = '9237356b46c0f53f71eb189b95c40ed1fa25a685';
 
	return sha1(sha1($password) . $salt);
}
 
?>
[PHP] pobierz, plaintext 

[johny_s]

[PHP] pobierz, plaintext 
echo sha1(sha1('twoje_haslo') . '9237356b46c0f53f71eb189b95c40ed1fa25a685');
[PHP] pobierz, plaintext 

[lipek80]

czy uzyłeś jakiegoś hasła zeby to wygenerować, troche się zmieszałem w temacie.

Co powinienem wpisać do bazy?

[johny_s]

do bazy w kolumnie haslo dla swojego usera wklejasz to co Ci wyświetli echo

a hasło to : twoje_haslo chyba ze zdefiniujesz sobie inne

[lipek80]

do bazy danych wpisałem

w pole haslo

"twoje_haslo"

plik salt.php wygląda tak jak poniżej

[PHP] pobierz, plaintext 
<?php
 
function salt($password) {
 
	$salt = '9237356b46c0f53f71eb189b95c40ed1fa25a685';
 
	return sha1(sha1($password) . $salt);
}
 
 
?>
[PHP] pobierz, plaintext 

I niestety to nie działa.

Stworzyłem plik log.php

[PHP] pobierz, plaintext 
<?php
 
	include(dirname(__FILE__) . '/../salt/salt.php');
    echo salt('twoje_haslo');
 
	?>
[PHP] pobierz, plaintext 

zwraca mi błąd:

Warning: include(/public_html_v2/admin/../salt/salt.php) [function.include]: failed to open stream: No such file or directory in /public_html_v2/admin/log.php on line 3

Warning: include() [function.include]: Failed opening '/public_html_v2/admin/../salt/salt.php' for inclusion (include_path='.:/usr/share/p52:/usr/share/pear') in /public_html_v2/admin/log.php on line 3

Fatal error: Call to undefined function salt() in /public_html_v2/admin/log.php on line 4

[johny_s]

nie masz wpisywac do bazy 'twoje_haslo' tylko to co Ci się wyświetli z tego:

[PHP] pobierz, plaintext 
    echo sha1(sha1('twoje_haslo') . '9237356b46c0f53f71eb189b95c40ed1fa25a685');
[PHP] pobierz, plaintext 

[lipek80]

Już zadziałało


do stworzonego pliku log.php wkleiłem

[PHP] pobierz, plaintext 
<?php
 
	include(dirname(__FILE__) . '/../salt/salt.php');
         echo sha1(sha1('twoje_haslo') . '9237356b46c0f53f71eb189b95c40ed1fa25a685');
 
	?>
[PHP] pobierz, plaintext 

wygenerowało mi kod który wkleiłem do bazy

hasłem jest:

twoje_haslo

dziekuje bardzo za pomoc.