[php]md5 i szyfrowanie haseł Opcje

[habbakuk]

Witam!
Zaczynam małą zabawę z php i mysql i chciałbym poprosić Was o pomoc. Stworzyłem sobię bazę danych, a w niej tabelkę users - 2 pola: name i pass (oba varchary). Napisałem również prosty formularz w html, gdzie podajemy nazwę usera i hasło:

[HTML] pobierz, plaintext 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<title>Logowanie</title>
</head>
 
<body>
<center>
<h2>Proszę podać nazwę użytkownika i hasło:</h2>
<form name = "formularz"
 action = "http://localhost/sklep/nh.php"
 method = "POST">
 
 <TABLE border="1"><TR>
 <TD bordercolor="#FFFFFF">Użytkownik:</TD>
 <TD bordercolor="#FFFFFF"><INPUT TYPE = "text" NAME = "user"></TD>
 </TR>
 
 <TR>
 <TD bordercolor="#FFFFFF">Hasło:</TD>
 <TD bordercolor="#FFFFFF"><INPUT TYPE = "password" NAME = "haslo"></TD>
 </TR>
 
 <TR>
 <TD colspan="2" align="center" bordercolor="#FFFFFF">
 <INPUT TYPE = "submit" VALUE = "Zaloguj">
 </TD>
 </TR>
<FORM>
</CENTER>
</BODY>
</HTML>
[HTML] pobierz, plaintext 

Do tego dochodzi plik php w którym sprawdzam czy dany user i hasło znajdują się w bazie:

[PHP] pobierz, plaintext 
<?php
@$pass = $_POST["haslo"];
@$user = $_POST["user"];
 
function checkPass($pass, $user){
 $link = mysql_connect("localhost", "root", "supertajnehaslo);
 $flag = mysql_select_db("nh");
 if(!$link || !$flag){
  echo("Error!");
  return false;
  }
 
  $query = "SELECT PASS FROM USERS WHERE NAME = '".$user."'";
  $result = mysql_query($query);
 
  if(!$result){
   echo("Problem z baza danych! Zapytanie zostalo odrzucone!");
   mysql_close($link);
   return false;
   }
   
   
 $row = mysql_fetch_row($result);
 if(!$row){
  mysql_close($link);
  return false;
  }
 
 if($row[0] != $pass){
  mysql_close($link);
  return false;
  }
 
 else {mysql_close($link); return true;}
 }
 
if(!checkPass($pass, $user)){
 echo("<HTML><BODY><CENTER>");
 echo("<H2>Niepoprawne dane!</H2>");
 echo("</CENTER></BODY></HTML>");
 }
 
 else{
  include('index1.html');
  }
?>
[PHP] pobierz, plaintext 

Teraz chciałbym jakoś najpierw zaszyfrować dane w bazie a następnie użyć jakiejś funkcji deszyfrującej już na poziomie php aby odczytać hasło z bazy.
Proszę o pomoc, pozdrawiam.

Powód edycji: dodałem tag (cysiaczek)

[shpyo]

1. MD5 nie da się rozszyfrować (ale krążą plotki, że już się to udało)
2. jeżeli chcesz "ukryć" hasło to może zrobić tak: md5($zmienna_z_haslem) wtedy spradzanie użytkownika wygląda tak:

[PHP] pobierz, plaintext 
<?php
 
$mysqlQuery = "SELECT cos FROM tabela_userów WHERE login='".$zmienna_z_loginem."' AND haslo='".md5($zmienna_z_haslem)."'";
 
?>
[PHP] pobierz, plaintext 

Dodatkowo musisz pamiętać o zabezpieczeniach.
pozdr,

Ten post edytował shpyo 22.11.2005, 23:35:30

[habbakuk]

Co rozumiesz przez 'pamiętanie o zabezpieczeniach'? Co dokładnie spowoduje ukrycie hasła? Czy zostanie ono w jakiś sposób zaszyfrowane w samej bazie danych, tak by nie występował w niej czysty ciąg typu varchar?
Pozdrawiam.
P.S. Dodam iż użyłem wspomnianego md5:
Zamiast wcześniej napisanego:

[PHP] pobierz, plaintext 
<?php
$query = "SELECT PASS FROM USERS WHERE NAME = '".$user."'";
?>
[PHP] pobierz, plaintext 

Mam teraz:

[PHP] pobierz, plaintext 
<?php
$query = "SELECT PASS FROM USERS WHERE name = '".$user."' AND pass = '".md5($pass)."'"; 
?>
[PHP] pobierz, plaintext 

Jednakże wyskakuje błąd opisany w if:

[PHP] pobierz, plaintext 
<?php
if(!checkPass($pass, $user)){
 echo("<HTML><BODY><CENTER>");
 echo("<H2>Niepoprawne dane!</H2>");
 echo("</CENTER></BODY></HTML>");
 }
?>
[PHP] pobierz, plaintext 

Czy do md5 biblioteka php_mcrypt.dll powinna być włączona w php.ini (jakby co - jest włączona).

Ten post edytował habbakuk 23.11.2005, 07:20:44

[ActivePlayer]

jaka dales max dlugosc varchara w bazie ?

[shpyo]

1. długość pola z hasłem powinna mieć 32 znaki (ze względu na md5)
2. pisząc 'pamiętanie o zabezpieczeniach' miałem na myśli danie jeszcze addslashes" title="Zobacz w manualu php" target="_manual aby jakiś hAx0r nie zalogowal się na admina

W funkcji spradzającej znalazłem błąd:

[PHP] pobierz, plaintext 
<?php
 
function checkPass($pass, $user){
 $link = mysql_connect("localhost", "root", "supertajnehaslo");
 $flag = mysql_select_db("nh");
 if(!$link || !$flag){
  echo("Error!");
  return false;
  }
 
  $query = "SELECT PASS FROM USERS WHERE name = '".addslashes($user)."' AND pass = '".md5(addslashes($pass))."'";
  $result = mysql_query($query);
 
  if(!$result){
   echo("Problem z baza danych! Zapytanie zostalo odrzucone!");
   mysql_close($link);
   return false;
   }
   
   
 $row = mysql_fetch_row($result);
 if(!$row){
  mysql_close($link);
  return false;
  }
}
?>
[PHP] pobierz, plaintext 

Zobacz teraz, podaj też dokładny błąd jaki Ci pokazuje - nie jesteśmy wróżkami

Ten post edytował shpyo 23.11.2005, 10:14:54

[habbakuk]

Zerknę w domu jak wygląda wynik, dzięki Mówiąc o errorze nie miałem na myśli żadnego błędu php/mysql, jednakże tylko to iż tak jakby hasło zostało źle odczytane z bazy. Rozumiem, iż w bazie cały czas mamy niezaszyfrowane hasło w varcharze(32) a następnie dopiero z poziomu php wyciągamy je szyfrując. Co w takim wypadku będzie, jeśli ktoś uzyska dostęp do samej bazy danych - tam będą trzymane czyste niezaszyfrowane hasła, czy tak?

[shpyo]

proces rejestracji wygląda tak:
1. ktoś podaje dane (login hasło itp...)
2. php zapisuje te dane, ale hasło już jest kodowane w md5 i zapisywane do bazy (czyli w postaci ciągu 32 znaków), do bazy!

Logowanie wygląda tak:
1. ktos podaje login i hasło
2. php sprawdza to robiąc zapytanie do bazy (patrz na górę). Hasło podane przez logującego się musi być zakodowane w md5 (aby porównać je czy jest taki rekord z loginem i hasłem w bazie).

Mam nadzieję, że zrozumiałeś ideę logowanie z kodowaniem hasła

[habbakuk]

Zrozumiałem Jednakże u mnie nie ma póki co procesu rejestracji! Są na sztywno wpisane dane w bazie spod linii poleceń mysql. Czyli rozumiem, że najpierw poszukać jakiegoś skryptu, bądź samemu go napisać do rejestracji - wpisu do samej bazy a następnie zająć się logowaniem czyli odczytem.
Pozdrawiam.

[escaflowne]

W procesie rejestracji, do bazy danych wrzucasz hasz hasła, czyli hasło zakodowane w md5; możesz je zakodować albo przez PHPowe md5():

[PHP] pobierz, plaintext 
<?php
$zapytanie = "INSERT INTO users VALUES ('user01', ". md5($haslo) .")";
$zapytanie_wykonaj = mysql_query($zapytanie);
?>
[PHP] pobierz, plaintext 

albo przez MySQLowe MD5:

[PHP] pobierz, plaintext 
<?php
$zapytanie = "INSERT INTO users VALUES ('user01', MD5($haslo))";
$zapytanie_wykonaj = mysql_query($zapytanie);
?>
[PHP] pobierz, plaintext 

Tak więc, do bazy danych trafia hasz hasła (nie do odkodowania). A kiedy ktoś się loguje, proces przebiega następująco: tworzony jest hasz podanego przez logującego się hasła i tenże hasz, porównywany jest z haszem trzymanym w bazie danych:

[PHP] pobierz, plaintext 
<?php
$zapytanie = "SELECT id FROM users WHERE haslo = '". md5($haslo) ."'";
$zapytanie_wykonaj = mysql_query($zapytanie);
if(mysql_num_rows($zapytanie_wykonaj)===1){
   echo 'zalogowany';
}
else{
   echo 'zła nazwa użytkownika i/lub hasło';
}
?>
[PHP] pobierz, plaintext 

Pamiętaj o tym, że z jednego ciągu znaków, choćbyś niewiadomo ile razy traktował go md5(), zawsze otrzymasz taki sam hasz. Ale zmień choćby jeden znak w tym ciągu - otrzymasz zupełnie inny hasz od pierwotnego.

Dobrym pomysłem jest dodawanie soli do hasza, dzięki temu, nawet jeżeli ktoś wykradnie ci z bazy danych hasz hasła, to nie będzie mógł skorzystać sobie z gotowej tablicy haszy (można powiedzieć: słownik ciągów znaków i ich haszy), będzie musiał sam taką tablicę wygenerować i w niej szukać wykradzionego hasza, a to mu chwilę zajmie. A jeżeli wykranie więcej haszy, to dla każdego będzie musiał tworzyć oddzielną tablicę. Ale to już temat na osobną dyskusję...

[habbakuk]

I mam mały problem - za każdym razem gdy uruchamiam:

[PHP] pobierz, plaintext 
<?php
$link = mysql_connect("localhost", "root", "superTajneHaslo");
$flag = mysql_select_db("nh");
 
$haslo = 'superHaslo';
$zapytanie = "INSERT INTO users VALUES ('habbakuk', ".md5($haslo).")";
$zapytanie_wykonaj = mysql_query($zapytanie);
 
  if(!$zapytanie_wykonaj){
   echo("Problem z baza danych! Zapytanie zostalo odrzucone!");
   mysql_close($link);
   return false;
   }
else {mysql_close($link); return true;} 
 
?>
[PHP] pobierz, plaintext 

Pojawia mi się komunikat: Problem z baza danych! Zapytanie zostalo odrzucone!

[ghostrider]

zapytanie zostało odrzucone gdyż brakuje " ' " apostronfów,

[PHP] pobierz, plaintext 
<?php
 
$zapytanie = "INSERT INTO users VALUES ('habbakuk', '".md5($haslo)."')";
 
?>
[PHP] pobierz, plaintext 

[habbakuk]

[PHP] pobierz, plaintext 
<?php
$link = mysql_connect("localhost", "root", "superTajneHaslo");
$flag = mysql_select_db("nh");
 
$haslo = 'superHaslo';
$zapytanie = "INSERT INTO users VALUES ('habbakuk', '".md5($haslo)."')";
$zapytanie_wykonaj = mysql_query($zapytanie);
 
  if(!$zapytanie_wykonaj){
   echo("Problem z baza danych! Zapytanie zostalo odrzucone!");
   mysql_close($link);
   return false;
   }
else {mysql_close($link); return true;} 
 
?>
[PHP] pobierz, plaintext 

Cały czas to samo -> ten sam błąd.

[ghostrider]

[PHP] pobierz, plaintext 
<?php
echo "Problem z baza danych! Zapytanie zostalo odrzucone! Mysql SAID:" . mysql_error() ;
?>
[PHP] pobierz, plaintext 

powinienes sprawdzac co powiedzał mySQL, inczej ciężko sie zoriętowac co poszło nie tak, stawiam na to iz w tabeli users masz wiecej pol a zapytanie nie podaje wszystkich wartosci:

[PHP] pobierz, plaintext 
<?php
$sql = "INSERT INTO users (name, pass) VALUES ('haba...', MD5('" . $haslo . "') )" 
?>
[PHP] pobierz, plaintext 

i jeszcze :

[PHP] pobierz, plaintext 
<?php
@$pass = $_POST["haslo"];
@$user = $_POST["user"];
?>
[PHP] pobierz, plaintext 

powinno być:

[PHP] pobierz, plaintext 
<?php
 
$pass = (isset($_POST['haslo'])) ? $_POST['haslo'] : NULL;
$user = (isset($_POST['user'])) ? $_POST['user'] : NULL;
?>
[PHP] pobierz, plaintext 

ucisznie (@) parsera nie jest najlepsza metoda, moze doprowadzic do poważnego spadku wydajnosi skryptu.

Ten post edytował ghostrider 27.11.2005, 14:48:21

[habbakuk]

W porządku, hula Dzięki!! Jednakże teraz nie mogę się zalogować na zapisane już w bazie dane:

[PHP] pobierz, plaintext 
<?php
$pass = (isset($_POST['haslo'])) ? $_POST['haslo'] : NULL;
$user = (isset($_POST['user'])) ? $_POST['user'] : NULL;
 
function checkPass($pass, $user){
 $link = mysql_connect("localhost", "root", "autsajder12");
 $flag = mysql_select_db("nh");
 if(!$link || !$flag){
  echo("Error!");
  return false;
  }
 
  $query = "SELECT PASS FROM USERS WHERE name = '".$user."' AND pass = '".md5($pass)."'"; 
 
  $result = mysql_query($query);
 
  if(!$result){
   echo "Problem z baza danych! Zapytanie zostalo odrzucone! Mysql SAID: " . mysql_error() ;
   mysql_close($link);
   return false;
   }
   
   
 $row = mysql_fetch_row($result);
 if(!$row){
  mysql_close($link);
  return false;
  }
 
 if($row[0] != md5($pass){
  mysql_close($link);
  return false;
  }
 
 else {mysql_close($link); return true;}
 }
 
if(!checkPass($pass, $user)){
 echo("<HTML><BODY><CENTER>");
 echo("<H2>Niepoprawne dane!</H2>");
 echo("</CENTER></BODY></HTML>");
 }
 
 else{
  include('index1.html');
  }
?>
[PHP] pobierz, plaintext 

Po wpisaniu danych (czy to dobrych czy złych) ani nie pojawia się komunikat: Niepoprawne dane! ani też index1.html - po prostu wyświetla się pusta strona.

Ten post edytował habbakuk 27.11.2005, 15:49:51

[Ociu]

Proponuje zrobić:

[PHP] pobierz, plaintext 
<?php
$query = "SELECT pass FROM USERS WHERE name = '".$user."'";
$r = mysql_fetch_array(mysql_query($query));
 
if($r['pass'] === $pass) return true;
 
?>
[PHP] pobierz, plaintext 

[-Gość_Seba-]

Witam Panowie mam głupia sprawe wiedze ze macie pojecie o kompach. Mam zone ktora chyba mnie zdradza , korzystamy z tego samego komputera,zmoderowane

[ghostrider]

[PHP] pobierz, plaintext 
<?php
 
if ( zona_zdradza($mnie) )
{
 die($you_bitch);
}
 
?>
[PHP] pobierz, plaintext 

)))))))
skasujcie te posty ......

Ten post edytował ghostrider 30.11.2005, 13:55:52

[nospor]

Drogi gościu. To smutne co piszesz, ale nie możemy ci pomoc w tym o co prosisz. To juz lekko pod nagiecie prawa podchodzi. W związku z tym moderuje Twoj post

@ghostrider a ty to prosisz sie o warna.

[-kubap0-]

Witam chce skorzystac z MD5 pole haslo w bazie jest polem varchar 32 znakowym ale mam problem.
Oto moj kod

[PHP] pobierz, plaintext 
<?php
$nazwisko = GetSQLValueString($_POST['nazwisko'], "text") ;
				  $login = GetSQLValueString($_POST['login'], "text");,
				  $haslo = GetSQLValueString($_POST['haslo'], "text");
				  $grupa_id = GetSQLValueString($_POST['grupa_id'], "int");
				  $email = GetSQLValueString($_POST['email'], "text");
				  $aktywny = GetSQLValueString($_POST['aktywny'], "text");
				  $handl_info = GetSQLValueString($_POST['handl_info'], "text"));
				  $szyfr=md5($haslo);
 
  $insertSQL = sprintf("INSERT INTO as_user_dane (nazwisko, login, haslo, grupa_id, email, aktywny, handl_info) VALUES ('$nazwisko, '$login', '$szyfr', '$grupa_id', '$email', '$aktywny', '$handl_info')";
?>
[PHP] pobierz, plaintext 

I otzymuje blad :
Unknown column '54d7fdf584c92b8555ad6b0c0b58fe84' in 'field list'
Nie mam pojecia co moze byc nie tak probowalem juz roznych konfiguracji z md5 w zapytaniu sql i tez ten sam blad

[drPayton]

Wytnij dokłądnie z kodu fragment od:

[PHP] pobierz, plaintext 
<?php
$insertSQL =
?>
[PHP] pobierz, plaintext 

bo tak jak wkleiłeś, to w ogóle nie ma prawa działać nic, tylko parse error...