Veröffentlicht 8. Mai 200223 j Hi, ich möchte das jeder User sein Passwort eingeben muß bevor er weiter kommt, zum vergeleichen habe ich folgende Script : ... if($log) { # Passwort abfrage # $db_passwd = mysql_connect($mysqlhost, $mysqluser, $mysqlpassword); $sqlab_passwd = "select * from user where name='$user'"; $res_passwd = mysql_db_query("$mysqldb", $sqlab_passwd); $ori_passwd = mysql_result($res_passwd, 0,"passwd"); mysql_close($db_passwd); if($pass===$ori_passwd) { .... [/php] So, hier wird verglichen ob das Password , welches vom User eingegeben wurde, mit dem aus der Mysql-Datenbank übereinstimmt. Nur liegen die Passwörter in klar Text in der Datenbank. Nun meine Frage ist es sinvoll die Passwört so in der Mysql-Datenbank zu speichern ? - Oder sollte leiber ein Verschlüsselungsalgorytmus zum zuge kommen ? Falls ja habt ihr auch eventuell schon eine Idee wie soetwas aussieht ? Bis denn Tool-Time
8. Mai 200223 j bei der speicherung solltest du die passwörter mit md5() verschlüsseln und so auch in der db speicher. md5() ist eine one way verschlüsselung. zum vergleich kannst du dann folgenden select verwenden: select * from user where username='".$username."' AND pass='".md5($passwort)."'
8. Mai 200223 j Autor Original geschrieben von MiH bei der speicherung solltest du die passwörter mit md5() verschlüsseln und so auch in der db speicher. md5() ist eine one way verschlüsselung. zum vergleich kannst du dann folgenden select verwenden: select * from user where username='".$username."' AND pass='".md5($passwort)."' Dadurch Verschlüssel ich doch die Verbindung zu Datenbank,oder ?
8. Mai 200223 j Nein, Du verschlüsselst das Passwort und speicherst es in die Datenbank. Wenn der Nutzer zurück kommt und sein Passwort wieder eingibt, verschlüsselst Du dieses wieder mit der gleichen Funktion. Jetzt vergleichst Du das verschlüsselte Passwort aus der Datenbank mit dem verschlüsseltem Passwort der Benutzereingabe. Bei Übereinstimmung läßt Du ihn durch. Dadurch stehen keine Passwörter im Klartext in der Datenbank, man kann diese auch nicht entschlüsseln, da es eine Oneway Verschlüsslung ist.
8. Mai 200223 j Autor Wie speicher ich diese denn dann ambesten in der Datenbank ? oder mache ich das über einen weiteren weg wie : $pass= .md5($passwort_eingabe); [/php]
8. Mai 200223 j Autor Original geschrieben von exe[tm] Bingo. $pass= md5($passwort_eingabe); [/php] und dann ab damit in die Datenbank. [/b] Danke exe[tm] ich werde es gleich einmal probieren Noch nen schönen Feiertag Tool-Time :OD
9. Mai 200223 j md5 verschlüsselt? Leider völliger Blödsinn, sorry. http://www.php.net/manual/en/function.md5.php md5 is nur die Prüfsumme. Macht aber trotzdem sinn, md5 zu benutzen, da diese Prüfsumme nur genau das gleich ist, wenn das Passwort auch gleich ist. Vorteil hierbei im gegesatz zu gecrypt()en Sachen ist, dass am Ende immer das gleiche rauskommt, bei crypt() gibts immer andere Ergebnisse.
9. Mai 200223 j Stimmt crypt() war es. Ist immer des Problem, wenn man Sachen unüberpfrüft einfach übernimmt
10. Mai 200223 j In MySQL-Abfragen gibts doch auch noch PASSWORD()... Damit hat man ebenfalls ein verschlüsseltes Passwort in der DB. Einfügen und überprüfen funzt übrigens genau wie bei den anderen Möglichkeiten (md5 und crypt)...
10. Mai 200223 j Nimm crypt(), das ist das was Du brauchst. Es verschlüsselt den übergebenen String mit DES. md5() ist eine Funktion um einen Hashwert zu erzeugen. Dieser Wert ist simpel gesprochen wie eine Art "Quersumme" eines Strings.
10. Mai 200223 j Gibt des denn ache eine sichere Möglichkeit das Passwort aus dem HTML-Formular ins Script zu übertragen (ohne SSL)?
14. Mai 200223 j Original geschrieben von E-T Gibt des denn ache eine sichere Möglichkeit das Passwort aus dem HTML-Formular ins Script zu übertragen (ohne SSL)? Ohne Applet, nein. Man kann wohl auch in Javascript verschlüsseln, aber da der Quellcode ja im Klartext vorliegt, kann ein erfahrener Programmierer das zurückverfolgen. Gruß Jaraz
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.