Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

szyfrowanie logowania

TopGun Zobacz profil	25.01.2007, 10:40:50 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 24.01.2007 Ostrzeżenie: (0%)	No wiec zabralem sie za tworzenie skryptu logowania i mam maly zgrzyt. Otoz w bazie haslo koduje za pomoca password('haslo') i nijak nie wiem jak porownac to haslo z moim wpisanym oraz jak zakodowac haslo wpisywane w formularzu by siecia szlo juz zakodowane? Ponizej moj skrypcik. [PHP] pobierz, plaintext <?php include ("baza.inc"); $sql_szukaj = "SELECT * FROM users WHERE login = 'admin' and pass = password('admin1234')"; $res_szukaj= @mysql_query($sql_szukaj, $connection) or die("Zapytanie usera nieudane"); if($res_szukaj) { $sql_dodaj_admina = "insert into users (login, pass, user, uprawnienia) values ("admin", password('admin1234'), "Administrator", "3")"; $res_dodaj_admina= @mysql_query($sql_dodaj_admina, $connection);// or die("Zapytanie dodania admina nieudane"); } if(!(isset($_POST['login'])) && !(isset($_POST['haslo']))) { echo "<FORM action="index.php" method="post"> Login: <input type="text" name="login" /><BR/> Hasło: <input type="password" name="haslo" /><BR/> <input type="submit" name="Zaloguj" /><BR/></FORM>"; } if(isset($_POST['login']) && isset($_POST['haslo'])) { $login_porownaj=$_POST['login']; $haslo_porownaj=$_POST['haslo']; $haslo = crypt($haslo_porownaj); $sql_porownaj = "SELECT * FROM users WHERE login = 'jarek' "; $res_porownaj = @mysql_query($sql_porownaj, $connection) or die("Zapytanie porownania do bani"); while ($row = mysql_fetch_array($res_porownaj)) { $password = $row['pass']; echo "$password <BR> $haslo_porownaj<BR> $haslo<BR>"; } if ($password == $haslo_porownaj) { echo "zalogowales sie"; } else { echo "zle dane"; } } ?> [PHP] pobierz, plaintext niby funkcja crypt() po stronie php koduje hasla ale z tego co mi wyswietla to za kazdym razem jest inna wartosc. Jakas podpowiedz? Ten post edytował TopGun 25.01.2007, 11:07:21

Start new topic

Odpowiedzi (1 - 9)

My4tic Zobacz profil	25.01.2007, 11:04:12 Post #2
Grupa: Zarejestrowani Postów: 260 Pomógł: 0 Dołączył: 4.08.2005 Ostrzeżenie: (0%)	1. Używaj odpowiednich tagów do wstawiania kodu na forum. 2. password() != crypt() 3. Nie używaj SQL'owego password() 4. Używaj funkcji mieszających - MD5, SHA1 5. Crypt() jest także funkcją mieszającą.

TopGun Zobacz profil	25.01.2007, 14:12:52 Post #3
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 24.01.2007 Ostrzeżenie: (0%)	Dzieki za podpowiedz, uzylem wlasnie md5 i dziala mi to porownanie, lecz w jaki sposob zaszyfrowac formularz, by z niego haslo do serwera szlo zaszyfrowane a nie otwartym tekstem? Czy pozostaje mi tylko szyfrowanie strony przy pomocy ssl?

My4tic Zobacz profil	25.01.2007, 17:27:38 Post #4
Grupa: Zarejestrowani Postów: 260 Pomógł: 0 Dołączył: 4.08.2005 Ostrzeżenie: (0%)	Mógłbyś zakodować hasło w MD5 po stronie klienta przy pomocy javascript'u i dopiero je wysyłać jednak moim zdaniem lepiej użyć SSL. http://www.google.pl/search?q=md5+javascri...lient=firefox-a

TopGun Zobacz profil	26.01.2007, 09:18:30 Post #5
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 24.01.2007 Ostrzeżenie: (0%)	Na sieci znalazlem implementacje po stronie klienta w php: [PHP] pobierz, plaintext <?php /* * sha-1.php * A php implementation of the Secure Hash Algorithm, SHA-1, based on * the JavaScript implementation by Paul Johnston. * This is basically a "translation from JavaScript to php, so most * of the credits should go to Paul Johnston. I only re-wrote it in php. * See <a href="http://pajhome.org.uk/site/legal.html" target="_blank">http://pajhome.org.uk/site/legal.html</a> for details. / / * Convert a 32-bit number to a hex string with ms-byte first / function hex($num) { $hex_chr = "0123456789abcdef"; $str = ""; for($j = 7; $j >= 0; $j--) $str .= $hex_chr{(($num >> ($j 4)) & 0x0F)}; return $str; } /* * Convert a string to a sequence of 16-word blocks, stored as an array. * Append padding bits and the length, as described in the SHA1 standard. / function str2blks_SHA1($str) { $nblk = ((strlen($str) + 8) >> 6) + 1; for($i = 0; $i < $nblk 16; $i++) $blks[$i] = 0; for($i = 0; $i < strlen($str); $i++) $blks[$i >> 2] \|= ord($str{$i}) << (24 - ($i % 4) * 8); $blks[$i >> 2] \|= 0x80 << (24 - ($i % 4) * 8); $blks[$nblk * 16 - 1] = strlen($str) * 8; return $blks; } /* * Bitwise rotate a 32-bit number to the left / // zeroFill() is needed because php doesn't have a zero-fill // right shift operator like JavaScript's >>> function zeroFill($a, $b) { $z = hexdec(80000000); if ($z & $a) { $a >>= 1; $a &= (~$z); $a \|= 0x40000000; $a >>= ($b-1); } else { $a >>= $b; } return $a; } function rol($num, $cnt) { return ($num << $cnt) \| (zeroFill($num, (32 - $cnt))); } / * Perform the appropriate triplet combination function for the current * iteration / function ft($t, $b, $c, $d) { if($t < 20) return ($b & $c) \| ((~$b) & $d); if($t < 40) return $b ^ $c ^ $d; if($t < 60) return ($b & $c) \| ($b & $d) \| ($c & $d); return $b ^ $c ^ $d; } / * Determine the appropriate additive constant for the current iteration / function kt($t) { return ($t < 20) ? 1518500249 : ( ($t < 40) ? 1859775393 : ( ($t < 60) ? -1894007588 : -899497514 ) ); } / * Take a string and return the hex representation of its SHA-1. */ function calcSHA1($str) { $x = str2blks_SHA1($str); $a = 1732584193; $b = -271733879; $c = -1732584194; $d = 271733878; $e = -1009589776; for($i = 0; $i < count($x); $i += 16) { $olda = $a; $oldb = $b; $oldc = $c; $oldd = $d; $olde = $e; for($j = 0; $j < 80; $j++) { if($j < 16) $w[$j] = $x[$i + $j]; else $w[$j] = rol($w[$j-3] ^ $w[$j-8] ^ $w[$j-14] ^ $w[$j-16], 1); $t = rol($a, 5) + ft($j, $b, $c, $d) + $e + $w[$j] + kt($j); $e = $d; $d = $c; $c = rol($b, 30); $b = $a; $a = $t; } $a += $olda; $b += $oldb; $c += $oldc; $d += $oldd; $e += $olde; } return hex($a) . hex($b) . hex($c) . hex($d) . hex($e); } ?> [PHP] pobierz, plaintext I teraz pytanie: jak wykorzystac funkcje calcSHA1() w formularzu np. tego typu? [PHP] pobierz, plaintext <?php if(!(isset($_POST['login'])) && !(isset($_POST['haslo']))) { echo "<FORM action="index.php" method="post"> Login: <input type="text" name="login" /><BR/> Hasło: <input type="password" name="haslo" /><BR/> <input type="submit" name="Zaloguj" /><BR/></FORM>"; } ?> [PHP] pobierz, plaintext

maryaan Zobacz profil	26.01.2007, 11:15:26 Post #6
Grupa: Zarejestrowani Postów: 380 Pomógł: 2 Dołączył: 5.01.2007 Ostrzeżenie: (0%)	powiedz mi jak chcesz zastosowac po stronie klienta cos co jest napisane (a dokladniej przepisane z js) w php ktore dziala po stronie serwera?

TopGun Zobacz profil	26.01.2007, 11:53:34 Post #7
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 24.01.2007 Ostrzeżenie: (0%)	Hmm...tez prawda (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Wiec pozostaje mi implementacja javascriptu albo sobie odpuscic (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

nospor Zobacz profil	26.01.2007, 11:58:04 Post #8
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	a ja zadam pytanie: czemu ma sluzyc hashowanie po stronie klienta? Rozwazmy sytuacje: masz juz to hashowanie u klienta. Klient sie loguje, wysyla haslo shashowane. Siedzi sobie teraz taki hackier i nasluchuje co wysyla ludek. Przechwytuje shashowane haslo, zaraz potem wysyla identyczne rządanie logowania i mimo ze haslo bylo shashowane to i tak sie zaloguje. teraz moze robic na koncie klienta co dusza zapragnie.

My4tic Zobacz profil	26.01.2007, 13:07:08 Post #9
Grupa: Zarejestrowani Postów: 260 Pomógł: 0 Dołączył: 4.08.2005 Ostrzeżenie: (0%)	Cytat(nospor @ 26.01.2007, 11:58:04 ) a ja zadam pytanie: czemu ma sluzyc hashowanie po stronie klienta? Rozwazmy sytuacje: masz juz to hashowanie u klienta. Klient sie loguje, wysyla haslo shashowane. Siedzi sobie teraz taki hackier i nasluchuje co wysyla ludek. Przechwytuje shashowane haslo, zaraz potem wysyla identyczne rządanie logowania i mimo ze haslo bylo shashowane to i tak sie zaloguje. teraz moze robic na koncie klienta co dusza zapragnie. ...myślę, że jednak jest jakiś plus takiego rozwiązania jednak tak jak pisałem wcześniej - moim zdaniem nie warto się tym bawić. Załóżmy, że hacker sniffuje sieć i przechwytuje pakiety. Kiedy wysyłasz żądanie logowania hacker dostaje tylko hash - nie zna jawnego hasła co przy świadomości bezpieczeństwa użytkowników internetu jednak ma jakieś znaczenie - większość osób ma pewnie takie samo hasło na forum, takie samo do maila, serwera czy wielu innych. Przechwytując login i hasło wystarczy władować nick usera do google i pewnie znajdzie się jeszcze parę serwisów gdzie używa tego samego hasła. Wysyłając hash - zabezpieczasz się przed tym jednak po to jest SSH żeby go używac jeśli jest potrzebne.

nospor Zobacz profil	26.01.2007, 13:22:25 Post #10
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	Cytat większość osób ma pewnie takie samo hasło na forum, takie samo do maila, serwera czy wielu innych. No to tylko w tej sytuacji, ze nie poznam hasla na inne konta. Ale na danym serwisie bede mogl szalec. Z drugiej strony jesli mowimy o takich ludkach, co to maja te same hasla na rozne serwisy, to i te hasla wowczas do "trudnych" nie naleza i znalezienie odpowiednika dla takiego hasha problemem nie bedzie. podsumowujac: niepotrzebna zabawa, ale... no wlasnie: co kraj to obyczaj (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 22.08.2025 - 19:35

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn