MD5 enkripcija lozinke - problem za korisnike

[ Daffa @ 02.05.2009. 02:40 ] @

Pozdrav svima.

Imam jednu nedoumicu u vezi MD5 enkripcije lozinki. Ugradio sam tu enkripciju u svoju register.php skriptu, i sve radi bez ikakvih problema, međutim, svi znamo kakvog je oblika ispis nakon enkripcije, tj., gotovo je nemoguće zapamtiti takvu lozinku. Mene zanima da li postoji način da korisnik, na login formi, unosi svoj oblik lozinke koji je odabrao pri registraciji, a da se ta lozinka u bazi ispisuje kao enkripcija? Stanje kod mene trenutno je takvo da korisnik na login formi mora da unese enkriptovani oblik lozinke.

Sad kad pročitam svoje pitanje, djeluje mi dosta zbunjujuće. Iskreno se nadam da ste razumjeli šta hoću da pitam.

Hvala na odgovorima, unaprijed.

[ Zmaj @ 02.05.2009. 03:29 ] @

bilo je otome reci puno na forumu, ali ajd ukratko, ti registrujes korisnika i pre upisa u bazu uradis md5, kad sekorisnik kasnije uloguje ti ces pre poredjenja morati sifru koju je uneo da pretvoris u md5

znaci nsto ovako

$user = $_POST['user'];
$pass = md5($_POST['pass']);

$sql = "SELECT * FROM users WHERE user = '$user' AND pass='$pass'";

i dalje ide kod za rad sa bazom

korisiti pretragu foruma

[ Daffa @ 02.05.2009. 12:27 ] @

Zmaj, ja se stvarno izvinjavam sto ponavljam temu, trazio sam, ali vjerovatno na pogresan nacin, pa nisam nista nasao.

Dakle, ja enkripciju moram vrsiti i na samoj login formi? OK, to je i logicno, ne znam kako se sam nisam sjetio toga...

Puno hvala na odgovoru.

[ Nikola Poša @ 02.05.2009. 12:58 ] @

Citat:

Daffa: Dakle, ja enkripciju moram vrsiti i na samoj login formi?

Ako si pri unosu korisnika u bazu, njegov password upisao pomoću nekih od f-ja za enkripciju (MD5, SHA1, itd.), onda pri autentifikaciji korisnika moraš onaj password koji oni unesu u login formi, da pretvoriš u enkriptovanu formu, kako bi mogao da ga porediš sa onim u bazi.

btw Ne moraš u PHP kodu da vršiš tu enkripciju, možeš i direktno u upitu, npr.:

Code:

$sql = "SELECT * FROM users WHERE user = '$user' AND pass = MD5('$pass')";

[ Zmaj @ 02.05.2009. 13:21 ] @

mislio sam da napisem i taj, ali onda se javlja problem sto podaci pre upita moraju da se provere (mada nisam to naveo za user), ovako rezultat md5 u php je uvek niz od 32 karaktera koji je siguran za sql upit

@daffa
znaci obavezno za svaku formu moras da odradis proveru podataka pre prosledjivanja u sql, idi na http://phpsec.org/ imas uputsvo na srpskom sta i kako da odradis pre bilo kakvog rada sa bazom, pa prilagodi svoju aplikaciju

[ Miroslav Ćurčić @ 02.05.2009. 13:43 ] @

Posle registracije korisnika, ne treba korisniku da javljaš rezultat md5 funkcije, umesto toga pusti ga da kao password koristi ono što je i uneo u formular.

Tek kad dođe do login stranice, onda pokupiš to što je uneo za password i opet propustiš kroz md5 pa taj rezultat traži u bazi.

[ Daffa @ 02.05.2009. 14:54 ] @

Citat:

Zmaj:
@daffa
znaci obavezno za svaku formu moras da odradis proveru podataka pre prosledjivanja u sql, idi na http://phpsec.org/ imas uputsvo na srpskom sta i kako da odradis pre bilo kakvog rada sa bazom, pa prilagodi svoju aplikaciju

Nasao sam uputstvo, sad cu da ga pregledam.

Ljudi, puno vam hvala na odgovorima. Mislim da cu moci da se snadjem uz vasa uputstva. Javljam se ako nesto zakoci, je l' OK?

_{[Ovu poruku je menjao Daffa dana 02.05.2009. u 16:37 GMT+1]}