Hej, mam stronę i robię do niej logowanie.

I tu widzę problem bo nie wiem jak zrobić aby hasło użytkownika było odpowiednio zabezpieczone

- jak będę miał pole w bazie danych MySQL o nazwie password i będę w nim trzymał normalnie jako tekst to user raczej by sobie nie życzył tego abym je widział. A widzę je bo mam dostęp do owej bazy, tabeli i pola

- jak je "zahasluje" md5 to chyba będę mógł je odczytać kodem:

[PHP] pobierz, plaintext 
echo(md5("to_haslo_zakodowane_md5"));
[PHP] pobierz, plaintext 

a nawet jak zabezpieczę jakoś że tego nie odczytam to jak później jak user zapomni hasła to jak je odzyska?

Nie wiem jak to zrobić, pomożecie?

ee? Sprawdź, a nie pleciesz głupoty

md5 to hash - funkcja jednostronna, nie do odczytania (pomijam kwestie tęczowych tablic.)

Zapoznaj sie z tym tematem:
http://forum.php.pl/index.php?showtopic=44...t=0&start=0

Podsumowując: hasło masz trzymac zahashowane i posolone. Wszystko masz opisane w linku powyżej

Co do "przypomnij haslo" to polega to na tym, ze ty dla usera wysylasz nowo wygenerowane hasło - to jedna z możliwych praktyk.
User nie dostaje już hasła, które miał wcześniej

co do md5 napisałem że MOŻE odczytam - pytanie nie twierdzenie
przeczytam ART, dzięki.
A "przypomnij haslo" to chyba nie dobrze ze JA ( czyli poznaje to nowe ) wysyłam nowe hasło?

tam było CHYBA a nie MOZE. Nie było zadnego "?". Dla mnie to brzmiało jak stwierdzenie a nie pytanie.

Nie ty, a skrypt. I nie, wszystko jest wporządku.

Nie, nie było za-pytajnika, ale zdanie to zdanie Nieważne

Czyli robię skrypt który generuje hasło, wysyła je userowi, wstawia do bazy danych i "potraktowane" md5 dalej jest nie do odczytu?

md5 jest jednostronne. Nie ważne czy dalej czy nie dalej.

A sprawdź to sprawdź. Sprawdzenie tego "pytania" zajęłoby ci pół minuty (wykonanie kodu co sam podales)

1. User prosi o przypomnienie hasła.
2. Skrypt generuje nowe hasło (wysyla je na maila usera) i zakodowane md5 zapisuje do bazy.
3. User loguje sie i zmienia hasla na jakie mu pasuje.

Samo logowanie polega na tym, ze skrypt porownuje haslo podane przez usera na stronie w formularzu (oczywiscie zahashowane) z tym zakodowanym w bazie. Jesli sa zgodne, przepuszcza, jesli nie to nie.

no OK, pytanie: głownie tylko Ty mi odpisujesz, nie wiesz czym jest to uwarunkowane?





mhm, tak właśnie zrobię.

Czyli dzięki i EOT

p.s.
tylko nospor jeszcze odpisz

yyy, wciskam częściej F5?

Podane rozwiązanie w dokładnie takiej postaci ma jedną poważną wadę: można dowolnie każdemu zmienić jego hasło

zapewne, albo tylko Ty jesteś wyjadaczem PHP



tak, wygeneruje mu hasło ( tak jak pisałeś: mogę podejrzeć jakie ) ale poproszę/zmuszę go do zmiany tego hasła w np. 2h

Znowu wyciągasz błędne wnioski.

NIe zrozumiales: przy takim rozwiązaniu, Pan X moze zmienic haslo Panu Y bez zgody pana Y. Pan Y może się bardzo zdziwic przy probie zalogowania, bo już jego stare hasło nie będzie działać.

etam




ok, to co proponujesz?

Jest kilka wariacji, np:
Masz dodatkowe pole na hasło i to dodatkowe pole zmieniasz. Później przy logowaniu sprawdzasz te dodatkowe pole jeśli jest ustawione.
I jeśli user zaloguje się na to dodatkowe pole, to te dodatkowe pole czyscisz a ustawiasz główne pole tym co było w dodatkowym.
Jednocześnie możesz na uzytkowniku wymusisz zmianę hasła.

I masa innych

OK, zaraz zweryfikuje, teraz mam gościa i spadam, dzięki.

Dokładnie, to trzeba dodatkowo zabezpieczyć, ja podałem tylko ogólną koncepcję, jak to się odbywa