W jaki najlepiej sposób przechowywać nazwę i hasło administratora jeśli nie ma się dostępu do bazy danych

Moim zdaniem najbezpieczniej w jakims pliku np. config.php

[PHP] pobierz, plaintext 
<?
$login = 'login';  # w md5/sha1
$haslo = 'haslo'; # w md5/sha1
?>
[PHP] pobierz, plaintext 

poczytaj o htaccess. koduj hasla(md5()). nie indexuj katalogow gdzie trzymasz pliki z haslami.

A jeśli ktoś znajdzie ścieżkę do pliku to wszystko się wyświetli

I daltego trzymaj hasŁa w postaci zakodowanej np. md5. Postać zakodowana za bardzo mu nie pomoże, bo w formularzu powiedzmy będzie musial wpisać haslo, które potem ty bedziesz kodowal. Zakodowanie hasla w postaci md5 do jeszcze raz md5 da inne haslo.

Ale z doświadczenia wiem że złamać hasło MD5 można, chyba że zastosuje się nic nie znaczący ciąg znaków - ale i to można złamać.

Akurat w tym przypadku nic sie nie wyswietli, bo nei widzę tam zadnego echo print or sth.

po 2 mozesz zrobic cos takiego:

w pliku np. index.php (tego z którego includujesz)

[PHP] pobierz, plaintext 
<?php
 
DEFINE(&#092;"INCLUD_OK\", \"1\");
include(&#092;"config.php\");
 
?>
[PHP] pobierz, plaintext 

a w config.php

[PHP] pobierz, plaintext 
<?php
 
if(INCLUD_OK != 1) {
   echo 'Brak dostępu'; 
   die();
}
// reszta konfigów.
?>
[PHP] pobierz, plaintext 

mozna ale ile to potrwa. byla o tym dyskusja w Hydepark'u wiec jezeli nie robisz strony z super tajnymi danym to md5 jest wystarczajace a i tak najwazniejsze jest zabezpieczenie serwera. jak serwer jest bezpieczny to mozesz nawet tego nie kodowac (wiem skrajny przypadek - nie mozliwy do zrealizowania )

ActivePlayer: może lepiej defined" title="Zobacz w manualu PHP" target="_manual ?

tak lepiej, ale - nie chciałem zaciemniać przykładu.

kedys jak nie umialem jeszcze sie obslogwac baza danych zapisywalem hasla tak

funkcja wtorzy plik o losowanej nazwie z rozszerzeniem php potem tworzy zmienna $login i $haslo (haslo w md5). Pliki z haslami includowalem poprzez wczytanie listy folderu z plikami w ktorych znajdowaly sie hasla. Potem robilem do tego (jak sie juz nauczylem) .htaccess i autoryzacje HTTP.

pozdrawiam, narazie

a ja mam takie pytanko - w jaki sposob najlepiej trzymac hasla (w postaci zakodowanej) ale tak zeby mozna je bylo potem odkodowac. Bo jak zakoduje md5 to juz sliwki, jak ktos zapomni hasla to trzeba nowe dawac, a ja chce miec mozliwosc przypomnienia hasla...

md5 nie da sie odkodować, chyba że jakimś superkomputerem
i to trzeba hash długo rozszyfrowywać



chyba nie ma takiego algorytmu

To może generować nowe i je słać na mail ?

Do Lars to podaj mi jakiś wyraz zakodowany MD5 a ja ci spróbuje go odkodować. Tylko jakiś zwykły wyraz.

78aab8e4a99b8db57e320c5bda75a1ed

[OT]
Wybaczcie,
Nie mogę się powstrzymać - MEGAROTFL - część osób pewnie wie dlaczego...
[/OT]

A gdzie można znaleźć koder md5?
Bo ja zielony z php i napisać za bardzo nie miałbym czasu

[PHP] pobierz, plaintext 
<?
$string = 'cos';
$zakodowane = md5($string);
echo($zakodowane);
?>
[PHP] pobierz, plaintext 

dzieki

Witam



Skoro chcesz kodować hasła w sposób, by można było je łatwo odkodować, to po co w ogóle kodować hasło? Przecież funkcja kodowania ma na celu zabezpieczenie, a jak zakodujesz np. base_64, to jaki sens jak każdy to będzie potrafił odkodować?

mozna napisac wlasny algorytm kodujacy i odkodujacy no ale z tego co wiem to nie jest takie proste, przy zalozeniu ze nie polega to np. na dodaniu do kodu ascii wartosci dajmy na to 8

XOR ?
Mozna zastosowac kodowanie Huffmana

a549824a08ce8a198ccdb93c4983966e

na przykład - proste słowo .

koder Md5 : Fajny skrypcik napisany z nudów:

md5.php

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['md'])) {
echo 'Hash słowa <u>'.$_POST[&#092;"md\"].'</u> to:<br>';
$_POST['md']=md5($_POST['md']);
echo $_POST['md'];
} else {
?>
<form action=\"md5.php\" method=\"post\">
<input type=\"text\" name=\"md\">
<input type=\"submit\" value=\"md5's me!\">
</form>
<?php
}
?>
[PHP] pobierz, plaintext 

Cześć Lars wydaje mi się że po odkodowaniu wychodzi z tego słowo kapral .
Odpisz czy się zgadza

Można też tak:

config.php

[PHP] pobierz, plaintext 
<?php
 
#$login::xxxxx;
#$haslo::xxxxx;
 
?>
[PHP] pobierz, plaintext 

gdzie xxxxx = md5($string);

Odczyt:

[PHP] pobierz, plaintext 
<?php
 
$db = implode('', file(&#092;"config.php\"));
 
$a1 = quotemeta (&#092;"$login::\");
$a2 = quotemeta (&#092;"$haslo::\");
$c = quotemeta (&#092;";\");
 
preg_match(&#092;"#\" . $a1 . \"(.*?)\" . $c . \"#si\", $db, $a);
preg_match(&#092;"#\" . $a2 . \"(.*?)\" . $c . \"#si\", $db, $b);
$_login = $a[1];
$_haslo = $b[1];
 
echo &#092;"Login: \" . $_login;
echo &#092;"<BR> --------- <br>\";
echo &#092;"Haslo: \" . $_haslo;
 
?>
[PHP] pobierz, plaintext 

W ten

Przypominanie hasla to bzdura. Jezeli chcesz chronic dane uzytkownikow to taki mechanizm jest zbedny. Czemu? Jezeli ktos dorwie baze danych dorwie tez hasla a z doswiadczenia wiem ze wielu userow ma uniwersalne haslo do wielu rzeczy: poczta, kompy, ssh, ftp itd. Lepiej napisac fajny algorytm ktory wygeneruje nowe, latwo zapamietywalne haslo (z odpowiednich glosek)

Pozdrawiam

tak to jest słowo kapral Kapral

Używałeś http://md5.khrone.pl czy jakiegoś superkomputera ?

nie ma to jak bruteforce... ale ogolnie zlamac algorytm to jol powodzenia aczkolwiek moze cos wymyslili wiekszosc wlaman polega na blednej implementacji czy tez stack overflow

Zgadza się Lars posłużyłem się metodą słownikową. Dlatego każdy powinien mieć hasło z przypadkowo ułożonych liter i cyfr.
Czy jest to w miare bezpieczne przechowywanie hasł: