No wiec zabralem sie za tworzenie skryptu logowania i mam maly zgrzyt. Otoz w bazie haslo koduje za pomoca password('haslo') i nijak nie wiem jak porownac to haslo z moim wpisanym oraz jak zakodowac haslo wpisywane w formularzu by siecia szlo juz zakodowane? Ponizej moj skrypcik.

[PHP] pobierz, plaintext 
<?php
include ("baza.inc");
$sql_szukaj = "SELECT * FROM users WHERE login = 'admin' and pass = password('admin1234')";
$res_szukaj= @mysql_query($sql_szukaj, $connection) or die("Zapytanie usera nieudane");
if($res_szukaj)
{
	$sql_dodaj_admina = "insert into users (login, pass, user, uprawnienia) values ("admin", password('admin1234'), "Administrator", "3")";
	$res_dodaj_admina= @mysql_query($sql_dodaj_admina, $connection);// or die("Zapytanie dodania admina nieudane");
}
 
if(!(isset($_POST['login'])) && !(isset($_POST['haslo'])))
{
	echo "<FORM action="index.php" method="post">
		Login:
		<input type="text" name="login" /><BR/>
		Hasło:
		<input type="password" name="haslo" /><BR/>
		<input type="submit" name="Zaloguj" /><BR/></FORM>";
}
 
if(isset($_POST['login']) && isset($_POST['haslo']))
	{
		$login_porownaj=$_POST['login'];
		$haslo_porownaj=$_POST['haslo'];
		$haslo = crypt($haslo_porownaj);
		$sql_porownaj = "SELECT * FROM users WHERE login = 'jarek' ";
		$res_porownaj = @mysql_query($sql_porownaj, $connection) or die("Zapytanie porownania do bani");
		while ($row = mysql_fetch_array($res_porownaj))
		{
			$password = $row['pass'];
			echo "$password <BR>
					$haslo_porownaj<BR>
					$haslo<BR>";
		}
		if ($password == $haslo_porownaj)
		{
			echo "zalogowales sie";
		}
		else
		{
			echo "zle dane";
		}
	}
?>
[PHP] pobierz, plaintext 

niby funkcja crypt() po stronie php koduje hasla ale z tego co mi wyswietla to za kazdym razem jest inna wartosc. Jakas podpowiedz?

1. Używaj odpowiednich tagów do wstawiania kodu na forum.
2. password() != crypt()
3. Nie używaj SQL'owego password()
4. Używaj funkcji mieszających - MD5, SHA1
5. Crypt() jest także funkcją mieszającą.

Dzieki za podpowiedz, uzylem wlasnie md5 i dziala mi to porownanie, lecz w jaki sposob zaszyfrowac formularz, by z niego haslo do serwera szlo zaszyfrowane a nie otwartym tekstem? Czy pozostaje mi tylko szyfrowanie strony przy pomocy ssl?

Mógłbyś zakodować hasło w MD5 po stronie klienta przy pomocy javascript'u i dopiero je wysyłać jednak moim zdaniem lepiej użyć SSL.

http://www.google.pl/search?q=md5+javascri...lient=firefox-a

Na sieci znalazlem implementacje po stronie klienta w php:

[PHP] pobierz, plaintext 
<?php 
	/* 
	 * sha-1.php 
	 * A php implementation of the Secure Hash Algorithm, SHA-1, based on 
	 * the JavaScript implementation by Paul Johnston. 
	 * This is basically a "translation from JavaScript to php, so most 
	 * of the credits should go to Paul Johnston. I only re-wrote it in php. 
	 * See <a href="http://pajhome.org.uk/site/legal.html" target="_blank">http://pajhome.org.uk/site/legal.html</a> for details. 
	 */ 
	 
	/* 
	 * Convert a 32-bit number to a hex string with ms-byte first 
	 */ 
	function hex($num) 
	{ 
		$hex_chr = "0123456789abcdef"; 
		$str = ""; 
		for($j = 7; $j >= 0; $j--) 
		$str .= $hex_chr{(($num >> ($j * 4)) & 0x0F)}; 
		return $str; 
	} 
	 
	/* 
	 * Convert a string to a sequence of 16-word blocks, stored as an array. 
	 * Append padding bits and the length, as described in the SHA1 standard. 
	 */ 
	function str2blks_SHA1($str) 
	{ 
		$nblk = ((strlen($str) + 8) >> 6) + 1; 
		for($i = 0; $i < $nblk * 16; $i++) $blks[$i] = 0; 
		for($i = 0; $i < strlen($str); $i++) 
			$blks[$i >> 2] |= ord($str{$i}) << (24 - ($i % 4) * 8); 
		$blks[$i >> 2] |= 0x80 << (24 - ($i % 4) * 8); 
		$blks[$nblk * 16 - 1] = strlen($str) * 8; 
		return $blks; 
	} 
	 
	/* 
	 * Bitwise rotate a 32-bit number to the left 
	 */ 
 
	// zeroFill() is needed because php doesn't have a zero-fill 
	// right shift operator like JavaScript's >>> 
	function zeroFill($a, $b) 
	{ 
		$z = hexdec(80000000); 
		if ($z & $a) 
		{ 
			$a >>= 1; 
			$a &= (~$z); 
			$a |= 0x40000000; 
			$a >>= ($b-1); 
		} 
		else 
		{ 
			$a >>= $b; 
		} 
		return $a; 
	} 
 
	function rol($num, $cnt) 
	{ 
		return ($num << $cnt) | (zeroFill($num, (32 - $cnt))); 
	} 
	 
	/* 
	 * Perform the appropriate triplet combination function for the current 
	 * iteration 
	 */ 
	function ft($t, $b, $c, $d) 
	{ 
	  if($t < 20) return ($b & $c) | ((~$b) & $d); 
	  if($t < 40) return $b ^ $c ^ $d; 
	  if($t < 60) return ($b & $c) | ($b & $d) | ($c & $d); 
	  return $b ^ $c ^ $d; 
	} 
	 
	/* 
	 * Determine the appropriate additive constant for the current iteration 
	 */ 
	function kt($t) 
	{ 
	  return ($t < 20) ?  1518500249 : ( ($t < 40) ?  1859775393 : ( ($t < 60) ? -1894007588 : -899497514 ) ); 
	} 
	 
	/* 
	 * Take a string and return the hex representation of its SHA-1. 
	 */ 
	function calcSHA1($str) 
	{ 
		$x = str2blks_SHA1($str); 
				 
		$a =  1732584193; 
		$b = -271733879; 
		$c = -1732584194; 
		$d =  271733878; 
		$e = -1009589776; 
	 
		for($i = 0; $i < count($x); $i += 16) 
		{ 
			$olda = $a; 
			$oldb = $b; 
			$oldc = $c; 
			$oldd = $d; 
			$olde = $e; 
 
			for($j = 0; $j < 80; $j++) 
			{ 
				if($j < 16) $w[$j] = $x[$i + $j]; 
				else $w[$j] = rol($w[$j-3] ^ $w[$j-8] ^ $w[$j-14] ^ $w[$j-16], 1); 
				 
				$t = rol($a, 5) + ft($j, $b, $c, $d) + $e + $w[$j] + kt($j); 
				$e = $d; 
				$d = $c; 
				$c = rol($b, 30); 
				$b = $a; 
				$a = $t; 
			} 
 
			$a += $olda; 
			$b += $oldb; 
			$c += $oldc; 
			$d += $oldd; 
			$e += $olde; 
		} 
		return hex($a) . hex($b) . hex($c) . hex($d) . hex($e); 
	} 
?>
[PHP] pobierz, plaintext 

I teraz pytanie: jak wykorzystac funkcje calcSHA1() w formularzu np. tego typu?

[PHP] pobierz, plaintext 
<?php
if(!(isset($_POST['login'])) && !(isset($_POST['haslo'])))
{
	echo "<FORM action="index.php" method="post">
		Login:
		<input type="text" name="login" /><BR/>
		Hasło:
		<input type="password" name="haslo" /><BR/>
		<input type="submit" name="Zaloguj" /><BR/></FORM>";
}
?>
[PHP] pobierz, plaintext 

powiedz mi jak chcesz zastosowac po stronie klienta cos co jest napisane (a dokladniej przepisane z js) w php ktore dziala po stronie serwera?

Hmm...tez prawda Wiec pozostaje mi implementacja javascriptu albo sobie odpuscic

a ja zadam pytanie: czemu ma sluzyc hashowanie po stronie klienta?
Rozwazmy sytuacje: masz juz to hashowanie u klienta. Klient sie loguje, wysyla haslo shashowane. Siedzi sobie teraz taki hackier i nasluchuje co wysyla ludek. Przechwytuje shashowane haslo, zaraz potem wysyla identyczne rządanie logowania i mimo ze haslo bylo shashowane to i tak sie zaloguje. teraz moze robic na koncie klienta co dusza zapragnie.

...myślę, że jednak jest jakiś plus takiego rozwiązania jednak tak jak pisałem wcześniej - moim zdaniem nie warto się tym bawić. Załóżmy, że hacker sniffuje sieć i przechwytuje pakiety. Kiedy wysyłasz żądanie logowania hacker dostaje tylko hash - nie zna jawnego hasła co przy świadomości bezpieczeństwa użytkowników internetu jednak ma jakieś znaczenie - większość osób ma pewnie takie samo hasło na forum, takie samo do maila, serwera czy wielu innych. Przechwytując login i hasło wystarczy władować nick usera do google i pewnie znajdzie się jeszcze parę serwisów gdzie używa tego samego hasła. Wysyłając hash - zabezpieczasz się przed tym jednak po to jest SSH żeby go używac jeśli jest potrzebne.

No to tylko w tej sytuacji, ze nie poznam hasla na inne konta. Ale na danym serwisie bede mogl szalec. Z drugiej strony jesli mowimy o takich ludkach, co to maja te same hasla na rozne serwisy, to i te hasla wowczas do "trudnych" nie naleza i znalezienie odpowiednika dla takiego hasha problemem nie bedzie.

podsumowujac: niepotrzebna zabawa, ale... no wlasnie: co kraj to obyczaj