Jak wyłączyć kodowanie haseł w bazie?
Jeśli ktoś utworzy konto, hasło w bazie jest zakodowane...;/
Pełna wersja: [MYSQL]Jak wyłąćzyć kodowanie haseł w bazie?
I takie ogólnie ma być 
Cytat(assasin @ 24.12.2008, 21:59:12 ) 
Jak wyłączyć kodowanie haseł w bazie?
Jeśli ktoś utworzy konto, hasło w bazie jest zakodowane...;/
Jeśli ktoś utworzy konto, hasło w bazie jest zakodowane...;/
tylko z poziomu skryptu
Cytat(Riklaunim @ 24.12.2008, 22:01:01 )
I takie ogólnie ma być
dokładnie
Jak taki skrypt wygląda?
Chce wyłączyć dla PHP-Fusion 6.1.15 i Aardvark Topsites PHP.
Rejestracja dla ATS PHP:
Wklejam najważniejsze:
Może coś tutaj usunąć?
Chce wyłączyć dla PHP-Fusion 6.1.15 i Aardvark Topsites PHP.
Rejestracja dla ATS PHP:
Wklejam najważniejsze:
Kod
$TMPL['error_username'] = '';
$TMPL['error_style_username'] = '';
$TMPL['error_password'] = '';
$TMPL['error_style_password'] = '';
$TMPL['error_url'] = '';
$TMPL['error_style_url'] = '';
$TMPL['error_email'] = '';
$TMPL['error_style_email'] = '';
$TMPL['error_title'] = '';
$TMPL['error_style_title'] = '';
$TMPL['error_banner_url'] = '';
$TMPL['error_style_banner_url'] = '';
$TMPL['error_top'] = '';
$TMPL['error_style_top'] = '';
$TMPL['error_captcha'] = '';
$TMPL['error_style_captcha'] = '';
$TMPL['error_question'] = '';
$TMPL['error_style_question'] = '';
$TMPL['error_style_username'] = '';
$TMPL['error_password'] = '';
$TMPL['error_style_password'] = '';
$TMPL['error_url'] = '';
$TMPL['error_style_url'] = '';
$TMPL['error_email'] = '';
$TMPL['error_style_email'] = '';
$TMPL['error_title'] = '';
$TMPL['error_style_title'] = '';
$TMPL['error_banner_url'] = '';
$TMPL['error_style_banner_url'] = '';
$TMPL['error_top'] = '';
$TMPL['error_style_top'] = '';
$TMPL['error_captcha'] = '';
$TMPL['error_style_captcha'] = '';
$TMPL['error_question'] = '';
$TMPL['error_style_question'] = '';
Kod
[/b][b]if ($this->check_ban('join')) {
if ($this->check_input('join')) {
$password = md5($FORM['password']);[/b][b]
if ($this->check_input('join')) {
$password = md5($FORM['password']);[/b][b]
Kod
[/b][b] require_once("{$CONF['path']}/sources/in.php");
$short_url = in::short_url($TMPL['url']);
$DB->query("INSERT INTO {$CONF['sql_prefix']}_sites (username, password, url, short_url, title, description, category, banner_url, email, join_date, active, openid, user_ip)
VALUES ('{$TMPL['username']}', '{$password}', '{$TMPL['url']}', '{$short_url}', '{$TMPL['title']}', '{$TMPL['description']}', '{$TMPL['category']}', '{$TMPL['banner_url']}', '{$TMPL['email']}', '{$join_date}', {$CONF['active_default']}, 0, '{$user_ip}')", __FILE__, __LINE__);
$DB->query("INSERT INTO {$CONF['sql_prefix']}_stats (username) VALUES ('{$TMPL['username']}')", __FILE__, __LINE__);[/b][b]
$short_url = in::short_url($TMPL['url']);
$DB->query("INSERT INTO {$CONF['sql_prefix']}_sites (username, password, url, short_url, title, description, category, banner_url, email, join_date, active, openid, user_ip)
VALUES ('{$TMPL['username']}', '{$password}', '{$TMPL['url']}', '{$short_url}', '{$TMPL['title']}', '{$TMPL['description']}', '{$TMPL['category']}', '{$TMPL['banner_url']}', '{$TMPL['email']}', '{$join_date}', {$CONF['active_default']}, 0, '{$user_ip}')", __FILE__, __LINE__);
$DB->query("INSERT INTO {$CONF['sql_prefix']}_stats (username) VALUES ('{$TMPL['username']}')", __FILE__, __LINE__);[/b][b]
Może coś tutaj usunąć?
Funkcja md5 jest odpowiedzialna za szyfrowanie.
1. Nie chcesz trzymac odkodowanych hasel w bazie
2. usuwasz md5() przy zapisie, i md5() przy porownywaniu hasel przy logowaniu (nie znam skryptu wiec musisz to zrobic we wlasnym zakresie)
3. patrz punkt 1
2. usuwasz md5() przy zapisie, i md5() przy porownywaniu hasel przy logowaniu (nie znam skryptu wiec musisz to zrobic we wlasnym zakresie)
3. patrz punkt 1
Cytat(dr_bonzo @ 24.12.2008, 22:55:06 )
1. Nie chcesz trzymac odkodowanych hasel w bazie
serio =))
Ale jak chcesz poznać hasla użytkownikow - nie wiem po kiego =) możesz zrobić, że podczas rejestracji hasła będą lądować razem z id użytkownika do jakiegoś pliku .txt ...
OO jak to zrobić??
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.
Cytat(assasin @ 24.12.2008, 23:15:32 )
OO jak to zrobić??
poczytaj manual fwrite" title="Zobacz w manualu PHP" target="_manualCytat(assasin @ 24.12.2008, 23:15:32 )
Wyłączyłem kodowanie;p czy taka baza może być zagrożona?
tak i to nawet nie zdajesz sobie sprawy jak =))Cytat(assasin @ 24.12.2008, 23:15:32 )
oczywiście jak nikt nie posiada hasła.
nie bardzo rozumiem
Cytat(assasin @ 24.12.2008, 23:15:32 )
OO jak to zrobić??
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.
Wyłączyłem kodowanie;p czy taka baza może być zagrożona? oczywiście jak nikt nie posiada hasła.
to może wiąząć w sobie inne następstwa, ponieważ żeby zrobić taki zabieg trzeba poznać dokładnie skrypty z powodu "odkodowania hasel" nie beda mogli sie zalogowac starzy lub nowi userzy może też byc problem przy zalogowaniu jeżeli hasła są przechowywane w ciasteczkach lub sesjach i inne komplikacje wiec radze ci powrócić stan skryptu do pierwotnej postaci i ewentualnie "nałożyć nakładkę" na skrypt zapisujaca hasła w pierwotnej postaci do bazy lub do pliku ale prawdopodobnie nie dasz rady tego zrobić więc lepiej daj sobie spokój z hackowaniem włąsnego skryptu i ewentualnie używaj strony http://md5.rednoize.com do "odkodowania" niektórych prostych haseł
Cytat(ultra_18 @ 24.12.2008, 23:24:57 )
używaj strony http://md5.rednoize.com do "odkodowania" niektórych prostych haseł
albo trudnych hasel znajdujących się w ich bazie danych ... chociaż bardziej polecam http://rafal.jelito.org/md5.php
Chce żeby było bezpiecznie, ale chce też widzieć hasła użytkowników;/
dostałeś już dużo odpowiedzi, podpowiedzi - jak zwał tak zwal ...
teraz pomyśl co przeczytaleś i wyskrob jakiś skrypt sam ... my Ci go NIE NAPISZEMY ... true evil ^^
teraz pomyśl co przeczytaleś i wyskrob jakiś skrypt sam ... my Ci go NIE NAPISZEMY ... true evil ^^
Równie dobrze możesz prowadzić inwigilację swoich userów, ponieważ zapewne część podaje takie samo hasło jak do emaila 
Cytat(assasin @ 24.12.2008, 23:40:22 )
Chce żeby było bezpiecznie, ale chce też widzieć hasła użytkowników;/
Haslem w bazie już i tak nie zobaczysz chyba że cześć odhashujesz ale to max 10% , a jeżeli chcesz zobaczyć hasła nowych to musisz dodać fragment kodu do formularza rejestracji w zasadzie wystarczy tylko funkcja file_put_contents nic trudnego , jednak nie licz na gotowy kod bo raczej go nie dostaniesz a jeżeli dostaniesz to i tak nie dasz rady go zainstalować więc poducz sie podstaw tak bedzie najlepiej
Zal, zal i jeszcze raz zal mi was
Jedyny czlowiek ktory ma cos sensownego do powiedzenia w tym jak i wielu innych tematach to dr_bonzo. Wielki szacunek dla tej osoby za wklad w php.pl, pomijam fakt zalowego tematu, kazdemu trzeba pomoc, naprowadzic/
Odnosnie kodowania, prawdopodobnie md5 (pole varchar 32znaki <: ?) ale.. powstaja wielkie bazy dostepne publicznie ktore rozkodowuja takie zapisy md5, zreszta wszyscy to "wala..." bedzie wyciek danych bedziesz sie martwil, albo i nie.. Serwis odnisie sukces? zatrudnisz programistow ktorzy zalatwia sprawe pozadnie [;. Robisz na zlecenie ? Wezmiesz dodatkowa kase za audyt bezpieczenstwa [;. Serwis stanie sie popularny i nastapi wyciek? Media zaczna trabic a PR zrobi swoje Same plusy, wiec nie martw sie na zapas, spojz na swoje problemy szerzej
Jedyny czlowiek ktory ma cos sensownego do powiedzenia w tym jak i wielu innych tematach to dr_bonzo. Wielki szacunek dla tej osoby za wklad w php.pl, pomijam fakt zalowego tematu, kazdemu trzeba pomoc, naprowadzic/
Odnosnie kodowania, prawdopodobnie md5 (pole varchar 32znaki <: ?) ale.. powstaja wielkie bazy dostepne publicznie ktore rozkodowuja takie zapisy md5, zreszta wszyscy to "wala..." bedzie wyciek danych bedziesz sie martwil, albo i nie.. Serwis odnisie sukces? zatrudnisz programistow ktorzy zalatwia sprawe pozadnie [;. Robisz na zlecenie ? Wezmiesz dodatkowa kase za audyt bezpieczenstwa [;. Serwis stanie sie popularny i nastapi wyciek? Media zaczna trabic a PR zrobi swoje Same plusy, wiec nie martw sie na zapas, spojz na swoje problemy szerzej
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.