Creare un'area privata (non storcete il naso!)

si dovevo imparare, ho preso un codice online ed avevo inizaito a ricopiarlo.
grazie per il supporto.

Figurati hombre!!

ciao, finalmente con un'area privata funzionante al 100%, sto implementando un sistema di sostituzione password.
il fatto è che non so come creare concordanza tra la password generata casualmente, che apparirà al'utente nella mail, e la password inserita nel database....
se la password temporanea che viene inviata all'utente fosse "PIPPO", come devo inserirla nel database? come PIPPO o come md5('PIPPO')?

Di preciso non ho capito cosa intendi fare.

Tuttavia se la funzione password() funziona nelle query di INSERT non vedo perchè md5() non dovrebbe funzionare.
Una volta inserita la password hashata (verbo bruttissimo) devi però de-hasharla e controllarla per vedere se combacia con quella inviata dall'utente nel login.

basta che la password la crei in modo random e e la invii all'email normale e poi la inserisci nel database criptata e poi naturalmente nel login dovrai criptare la password passata.

La funzione di de-hashaggio non esiste??
Ho trovato solo md5() e sha1().

[funcool]

La funzione di de-hashaggio non esiste??
Ho trovato solo md5() e sha1().

Non esiste, basta confrontare l'md5 della password scritta se è uguale a ciò che è scritto nel database.

basta che la password la crei in modo random e e la invii all'email normale e poi la inserisci nel database criptata e poi naturalmente nel login dovrai criptare la password passata.

beh nel login c'è già il criptaggio.
ok, grazie, capito :D

Non esiste, basta confrontare l'md5 della password scritta se è uguale a ciò che è scritto nel database.

Ok.
Parlando di crittografia. E' molto più facile trovare delle collisioni confrontando due stringhe hashate che due stringhe in chiaro. Mi spiego meglio.
Io ho l'hash di "pippo" che corrisponde a "0c88028bf3aa6a6a143ed846f2be1ea4". Se io de-hasho "0c88028bf3aa6a6a143ed846f2be1ea4" otterrò sempre "pippo".
Se invece io ho un'utente che per sbaglio trova che "pappo" ha lo stesso hash di "pippo", se l'utente inserisce "pappo" e il controllo avviene come dicono jostock e funcool allora il login dell'utente verrà riconosciuto come valido.

E' chiaro che trovare le collisioni non è per nulla facile.

non so se esistono questa specie di "bug", ma penso di no, cmq se ce ne dovessero essere sono rarissimi casi.

[funcool]

Inoltre questo metodo è usato anche da professionisti, quindi non credo che sia così probabile (se non impossibile) trovare per due stringhe lo stesso hash.

da quanto ne so io, l'algoritmo di criptazione di md5() prevede che due stringhe abbiano uno stesso hash se e solo se sono due stringhe uguali

La probabilità di trovare le collisioni sono pochissime ma esistono. Ci sono svariati algoritmi che vanno alla ricerca delle suddette collisioni ad esempio l'algoritmo Pollard-Rho.
Un sistema di crittazione si può dire perfetto esclusivamente quando nessuno conosce la chiave con cui sono stati crittati i dati. Nemmeno il calcolatore.

i misteri di php e del mio cervello...
cuccatevi questo bellissimo script per generare una password random nel caso in cui un utente deficiente se la dimenticasse:

Codice PHP:

$n_passw_rel=rand(10000,32000);
//hasha il numero che diventa una stringa di 32 caratteri
$n_passw_rel=md5($n_passw_rel);
$num1=rand(1,32);

if($num1<=25){
$num2=$num1+7;
}

else if($num1>25){
$num2=$num-7;
}

//preleva solo 7 numeri dalla stringa
$n_passw=substr($n_passw_rel,$num1,$num2);

//invia la password all'utente

//cripta in MD5 per il database e la inserisce
$cry=md5(n_passw);
echo"cry= $cry<br>";
$query="UPDATE utenti_fic SET password='$cry' WHERE username='$user' LIMIT 1";
mysql_query($query);


ora la domanda è: COME C@ZZ= E' CHE NON MI CRIPTA E NON MI AGGIORNA IL DATABASE?
ho messo una serie di echo per leggere gli output e $CRY RISULTA SEMPRE CODIFICATAC ON LA STESSA STRINGA!!!

Ti ricordo che scrivere in maiuscolo è come urlare, quindi evita.
debug

[binarysun]

$cry=md5($n_passw);
Manca un dollaro ;)

E cmq il modo in cui salvi le password spreca calcolo(e velocità inutilmente)
Basta usare l''MD5 1 volta e successivamente salvare l'hash nel DB.
Quei passaggi non rendono più difficile il decriptaggio.
Al massimo potresti aggiungere alla password dell'utente dei caratteri a caso , ma cmq servirebbe a poco.

certe volte mi ODIO.
grazie :D

[funcool]

Ho unito le due discussioni. lsdforum se hai già una discussione aperta non devi aprirne una simile. E' già la seconda volta...