esperto database my sql

salve ragazzi dovrei criptare una pass nel mio database mysql come si fa??

[makpaolo]

$pass_criptata=md5($password);

la procedura NON è reversibile.

$pass_criptata=md5($password);

la procedura NON è reversibile.

dato che interessa anche a me... ne approfitto per una domanda: cosa significa la procedura NON è reversibile? che non posso più eventualmente decrittarla? e per nuke come si fa ad inserire pass nel db non criptate?

[binarysun]

Esatto non esiste una funzione di decriptazione.
In questo modo non rimane traccia sul server della tua password.
Quando accedi inserisci la password normale, viene criptata e confrontata con quella criptata che hai salvato, se sono uguali passi.

in questo caso si parla di hashing e non di criptazione

mavericck

[binarysun]

Be la criptazione è rendere illeggibile un testo.
Se poi la funzione sia di hashing o altro è un'altra questione.

bi iego sto facendo na proa con forum phpbb
vado sul databse mysql su php_user e vedo nome utente:xxxx
user_passowrd e vedo numeri lettere ecc lunghissimi come devo fare per sapere la password???


grazie

Appunto, non puoi!


Ciaooo!!!!!!

non puoi ....... e non dovresti se si potesse! ;)

mavericck

[poske]

$pass_criptata=md5($password);

la procedura NON è reversibile.

Mi interessa sapere una cosa... Se viene criptata la pass in tanti numerini e dato un metodo get tipo "?pass=passwordCriptata" quest'ultimo può essere riutilizzato senza immettere di nuovo la password?

Spero di essermi spiegato bene...
Ciao! :smile:

Pske non ho capito una mazza!
Intendi dire un sistema per mantenere la password durante la navigazione?
E perchè non usare i cookie?


Ciaooo!!!

Mi interessa sapere una cosa... Se viene criptata la pass in tanti numerini e dato un metodo get tipo "?pass=passwordCriptata" quest'ultimo può essere riutilizzato senza immettere di nuovo la password?

Spero di essermi spiegato bene...
Ciao! :smile:

Esatto... se tu conosci la password criptata passi per uno che la password la conosce veramente perché lo script in realtà si aspetta la password criptata e non quella in chiaro.
Imagino che tu sia perplesso e in effetti ti dò ragione perché è solo complicare un attimo il problema... che di fatto rimane.
Bisogna complicare un po' la cosa perché utilizzando solo l'md5 c'è il problema che tu hai posto.

Ciao

No golfox!
Esempio:

se una password in chiaro è "pippo", e criptata è "123456789" (ovviamente è un esempio), se tu nel login immetti "123456789" al posto di pippo lo script cmq eseguirà un hash su quella stringa, quindi verrà a sua volta criptata, e quindi il login non sarà valido!

Fidatevi, non ci sono bug nell'md5()! ;)


Ciaoooooo!!!!!!!

[poske]

Grazie debug! il mio dubbio infatti era tra ciò che dice golfox e quest'ultima tua teoria...
Ovviamente bisogna organizzare lo script nel modo giusto...

[poske]

Debug, potresti indicarmi (magari con un semplice esempio) come gestiresti uno script con md5(); per laccesso tramite passw ad una pag protetta?

No golfox!
Esempio:

se una password in chiaro è "pippo", e criptata è "123456789" (ovviamente è un esempio), se tu nel login immetti "123456789" al posto di pippo lo script cmq eseguirà un hash su quella stringa, quindi verrà a sua volta criptata, e quindi il login non sarà valido!

Fidatevi, non ci sono bug nell'md5()! ;)


Ciaoooooo!!!!!!!

Ma io non ho mai parlato del login.
Tanto più che poske ha fatto l'esempio del passaggio della pw criptata nell'url (che nno c'enta niente con quello che dici tu).

Allora supponiamo che io conosca la pw criptata in md5 di un sito e
bypassassi la pagina del login (che punterà direttamente ad una pagina php).
Al primo passaggio ti aspetti la password del login in chiaro che poi passerai all'md5, se io la secondo passaggio passassi la password criptata nell'url e tu ti aspettassi questa password criptata in $_GET o $_REQUEST cosa dici riesco ad entrare o no?
La risposta è SI perché lo script php (al secondo passaggio e a quelli successivi) si aspetta una password criptata che è "statica".
Il problema non è l'md5 (che funziona bene e infatti non ho mai detto che ci sono bug), ma è l'utilizzo dell'md5 che a volte è un po' discutibile proprio perché il problema di poske è un problema reale.
Comunque se vuoi possiamo fare una prova con un tuo script che si aspetta una password in md5 in $_GET o $_REQUEST e poi vediamo cosa succede OLD

Ciao

[makpaolo]

crei un forum per l'inserimento della password e user....

Codice PHP:

$db = mysql_connect($db_host, $db_user, $db_password);
mysql_select_db('database', $db)
$check_pass=md5($get_password);
$query="Select password FROM tabella WHERE user='$get_username'";
$result = mysql_query($query, $db);
if($result=='$check_pass'){
echo"password acettata";
} else {
echo" password non valida";
}


comunque di script per la protezione delle pagine en trovi molti e completi.

Ma io non ho mai parlato del login.
Tanto più che poske ha fatto l'esempio del passaggio della pw criptata nell'url (che nno c'enta niente con quello che dici tu).

Allora supponiamo che io conosca la pw criptata in md5 di un sito e
bypassassi la pagina del login (che punterà direttamente ad una pagina php).
Al primo passaggio ti aspetti la password del login in chiaro che poi passerai all'md5, se io la secondo passaggio passassi la password criptata nell'url e tu ti aspettassi questa password criptata in $_GET o $_REQUEST cosa dici riesco ad entrare o no?
La risposta è SI perché lo script php (al secondo passaggio e a quelli successivi) si aspetta una password criptata che è "statica".
Il problema non è l'md5 (che funziona bene e infatti non ho mai detto che ci sono bug), ma è l'utilizzo dell'md5 che a volte è un po' discutibile proprio perché il problema di poske è un problema reale.
Comunque se vuoi possiamo fare una prova con un tuo script che si aspetta una password in md5 in $_GET o $_REQUEST e poi vediamo cosa succede OLD

Ciao

Infatti, non bisogna passare la password (criptata e non) nella url. Bisogna usare per esempio i sessions.

Infatti, non bisogna passare la password (criptata e non) nella url. Bisogna usare per esempio i sessions.

Il problema non è tanto la url (che è l'esempio che è stato fatto qua) quanto il come ripeschi le variabili dal php.... l'md5 da solo può non bastare.

Ciao

Il problema non è tanto la url (che è l'esempio che è stato fatto qua) quanto il come ripeschi le variabili dal php.... l'md5 da solo può non bastare.

Ciao

Perché? Come fai a by-passare il controllo se la password non viene passata nella url, ma come variabile della sessione?

Perché? Come fai a by-passare il controllo se la password non viene passata nella url, ma come variabile della sessione?

Se si utilizzano le sessioni non ci dovrebbero essere problemi, io parlo a livello generale e non nel caso particolare della sessione, per il quale non posso che essere daccordo con te.
Il mio dubbio riguarda la variabile $_REQUEST che riesce ad estrarre anche le variabili $_GET, $_POST e $_COOKIE.
Tutto qui.
Non credo di avere detto che riesco a bypassare il controllo della password quando si utilizzano le sessioni.

Ciao

P.S. comunque mi sa che il titolo di questo 3d dovrebbe essere modificato

Scusate, ma se uno è talmente bravo da conosce la psw già criptata, allora merita di avere totale potere! :D :D


Ciaooooooo!!!!!!!

Scusate, ma se uno è talmente bravo da conosce la psw già criptata, allora merita di avere totale potere! :D :D


Ciaooooooo!!!!!!!

Quoto!!
Si fa sempre per parlare... il problema non è partita da me

Ciao

Allora supponiamo che io conosca la pw criptata in md5 di un sito e
bypassassi la pagina del login (che punterà direttamente ad una pagina php).
Al primo passaggio ti aspetti la password del login in chiaro che poi passerai all'md5, se io la secondo passaggio passassi la password criptata nell'url e tu ti aspettassi questa password criptata in $_GET o $_REQUEST cosa dici riesco ad entrare o no?

NO !
perchè solitamente i sistemi di autenticazione (ben fatti) non ti permettono di "saltare livelli" così facilmente. di solito se il primo passaggio va a buon fine, viene creata una var di sessione del tipo $autenticato="si"; e all'inizio di tutti gli altri eventuali livelli si esegue un controllo sull'esistenza di quella var, che se va errato rimanda al primo livello!(un po contorto il ragionamento )

mavericck

NO !
perchè solitamente i sistemi di autenticazione (ben fatti)

Ma non stavo parlando di sistemi ben fatti... non puoi nascondere che se io provassi a fare un giretto lo scherzo di poske mi potrebbe riuscire

non ti permettono di "saltare livelli" così facilmente. di solito se il primo passaggio va a buon fine, viene creata una var di sessione

Non si parlava di sessione... non tutti la utlizzano per diversi motivi

del tipo $autenticato="si"; e all'inizio di tutti gli altri eventuali livelli si esegue un controllo sull'esistenza di quella var, che se va errato rimanda al primo livello!(un po contorto il ragionamento )

mavericck

Ciao

[poske]

crei un forum per l'inserimento della password e user....

Codice PHP:

$db = mysql_connect($db_host, $db_user, $db_password);
mysql_select_db('database', $db)
$check_pass=md5($get_password);
$query="Select password FROM tabella WHERE user='$get_username'";
$result = mysql_query($query, $db);
if($result=='$check_pass'){
echo"password acettata";
} else {
echo" password non valida";
}


comunque di script per la protezione delle pagine en trovi molti e completi.

Grazie dello script! leggendo tutti i vosltri post capisco che ci sono molte possibilità di protezione delle variabili delle password con md5(); e che quest'ultimo è solo un modo per rendere la vita più difficile a chi vuole spiare una password... per ora provo a riadattare lo script senza database e vedo che ne esce fuori... Ciao!