[Curiosità MySQL] pass in chiaro e md5

[Vre]

Quando mi connetto al db MySQL ho una pagina con le password e i nomi in chiaro...se metto la pass in md5 (o in qualche modo criptata)viene riconosciuta lo stesso da mysql?

[Hornwind]

la password in md5 è un testo come qualsiasi altro quindi non capisco perchè mysql debba darti problemi...

[Vre]

ma se metto la pass in md5 non riesco a collegarmi al db mysql,volevo sapere se era possibile collegrsi al db mysql utilizzando pass in md5 invece che in chiaro.

[Hornwind]

ah... avevo capito male... non credo sia possibile utilizzare password criptate quando si accede con il php... devi per forza passare la stringa contenente la password in chiaro.

[Frankesk]

certo che devi usare pass md5... io le uso.

nel db stori pass_md5 = md5($pass)

quando il client si collega confronti

(mysql) pass_md5 == md5($client_pass) (client)

ciò che transita sono solo gli md5() e stai tranquillo

[spoon25]

ma stai parlando della password per connettersi al DB?

In questo caso dubito fortemente che tu possa passarla non in chiaro, anche perché non servirebbe a nulla passare il risultato di md5($password_in_chiaro); , se qualcuno trova la password in md5 potrà usarla visto che il DB la accetta come buona, dunque il risultato è sempre lo stesso.

[Hornwind]

Originariamente inviato da spoon25
ma stai parlando della password per connettersi al DB?

In questo caso dubito fortemente che tu possa passarla non in chiaro, anche perché non servirebbe a nulla passare il risultato di md5($password_in_chiaro); , se qualcuno trova la password in md5 potrà usarla visto che il DB la accetta come buona, dunque il risultato è sempre lo stesso.

infatti... la password è solo apparentemente criptata, quella che passi in realtà è la stringa in chiaro, quindi non ha alcun senso usare md5...

[piero.mac]

Originariamente inviato da Vre
Quando mi connetto al db MySQL ho una pagina con le password e i nomi in chiaro...se metto la pass in md5 (o in qualche modo criptata)viene riconosciuta lo stesso da mysql?

Mi pare tutto molto confuso.

nel database "si dovrebbe" mettere la password cryptata (MD5() nell'esempio). Nel form l'utente la password la mette in chiaro ovviamente. Poiche' il campo input type=password accetta al massimo 8 chr, non potra' mai passare una stringa di 32 chr, anche se dovesse venire copiata dal db.

$pwd = MD5($_POST['password'];

In questo modo la stringa in chiaro in $_POST['password'] verra' immediatamente convertita in un hash di MD5(), "qualunque cosa essa contenga" compreso i caratteri proibiti o pericolosi. Sara' una innocua stringa di 32 chars exadecimali, che se non corrisponde a quella memorizzata nel db non permettera' l'autenticazione dello user.

Questa stringa verra' usata all'interno dello script per essere inserita oppure per verificarne l'esistenza nel db. Non serve estrarre e comparare, operazione inutile se nella select si ha il WHERE pwd = $pwd.

Ci sono vari thread su questo argomento. Solo bisogna "forzare" lo user ad utilizzare password (in chiaro) di almeno 6 chars. Questi "almeno" 6 chars, possono essere qualunque carattere. Tanto verranno tradotti in un hash di 32 byte. Il campo nel db dovra' essere VARCHAR(32).

[Hornwind]

credo che la confusione sia dovuta al fatto che Vre voleva sapere se poteva usare la password criptata per accedere al db... e la risposta è comunque no !

[piero.mac]

Originariamente inviato da Hornwind
credo che la confusione sia dovuta al fatto che Vre voleva sapere se poteva usare la password criptata per accedere al db... e la risposta è comunque no !

Perche' no ? Questo confonde me.