salve a tutti , ho bisogno di creare una pagina a cui puo accedere solo una persona, l' amministratore del sito , mi chiedevo se è sikuro impostare nome utente e pasword in due variabili esempio:
Codice PHP:session_start();
<?php
$utente="mario";
$pw="rossi";
//un form invia i dati username e pw
$utente1=$_POST['utente'];
$pw1=$_POST['pw'];
if (($utente1==$utente)&&($pw1==$pw){
session_register ( "entrato" );
}else{
echo "dati errati";
}
?>
nessuno sa darmi un consiglio ?!?!
Se nessuno ha accesso ai sorgenti...va bene.
In alternativa, se non vuoi lasciare la password in chiaro, ti puoi stampare l'hash della password (magari in md5) e poi usi quella...
In poche parole:
Codice PHP:<?php
$utente="mario";
$pw="2bf65275cb7f5dc95febd7d46cd7d0af"; //rossi
//un form invia i dati username e pw
$utente1=$_POST['utente'];
$pw1=md5($_POST['pw']);
if (($utente1==$utente)&&($pw1==$pw){
session_register ( "entrato" );
}else{
echo "dati errati";
}
?>
Realizzazione script php/mysql, per info:
delrossofabio@gmail.com
http://forum.html.it/forum/showthread.php?s=&threadid=1478962
Come genero questa password ?
Devi utilizzare l'md5, puoi farlo facendo:Originariamente inviato da tony1616
Come genero questa password ?
Codice PHP:<?php
$pass = md5("pippo");
print($pass);
?>
Realizzazione script php/mysql, per info:
delrossofabio@gmail.com
http://forum.html.it/forum/showthread.php?s=&threadid=1478962
Esiste un modo per ricondurre da md5 a 'normale'???
No, si può fare solo se si conosce la stringa di partenza. Essendo sempre lo stesso il meccanismo di crypt, se voglio criptare la parola admin, avrà sempre lo stesso valore (ad esempio).Originariamente inviato da tony1616
Esiste un modo per ricondurre da md5 a 'normale'???
Realizzazione script php/mysql, per info:
delrossofabio@gmail.com
http://forum.html.it/forum/showthread.php?s=&threadid=1478962
Risposta sbagliata...Originariamente inviato da gta3!
No, si può fare solo se si conosce la stringa di partenza. Essendo sempre lo stesso il meccanismo di crypt, se voglio criptare la parola admin, avrà sempre lo stesso valore (ad esempio).
La risposta giusta è "ni".
Esistono le raimbow table e le collisioni....oltre che una nutrita schiera di database "reverse".
Esempietto: http://tools.benramsey.com/md5/ se inserisci questo hash a65156af8393a7c2f5dd5a41ee09f04d ottieni la password...
Soluzione? Usare password complesse! Se per esempio provi questo hash 4cd3f55ee6b60d726ae5ab955adba7c8 non trovi (in quel sito, però!) corrispondenza
Beh no, non facciamo disinformazione. "Decriptare" un hash non e' possibile, punto.Originariamente inviato da Dascos
Risposta sbagliata...
La risposta giusta è "ni".
Esistono le raimbow table e le collisioni....oltre che una nutrita schiera di database "reverse".
Esempietto: http://tools.benramsey.com/md5/ se inserisci questo hash a65156af8393a7c2f5dd5a41ee09f04d ottieni la password...
Soluzione? Usare password complesse! Se per esempio provi questo hash 4cd3f55ee6b60d726ae5ab955adba7c8 non trovi (in quel sito, però!) corrispondenza
Che poi ci sia chi si mette a creare liste con gli hash di un sacco di parole e' un altro discorso, e il problema e' risolvibile in maniera estremamente banale semplicemente aggiungendo un salt, la qual cosa vanifica immediatamente qualunque rainbow table.
Ma la domanda era diversa...la domanda era "Esiste un modo per ricondurre da md5 a 'normale'???"Originariamente inviato da k.b
Beh no, non facciamo disinformazione. "Decriptare" un hash non e' possibile, punto.
Che poi ci sia chi si mette a creare liste con gli hash di un sacco di parole e' un altro discorso, e il problema e' risolvibile in maniera estremamente banale semplicemente aggiungendo un salt, la qual cosa vanifica immediatamente qualunque rainbow table.
Un modo per ricondurre...non ha chiesto se si può decrittare, ha chiesto se in qualche modo (qualunque) si può trovare l'originale sapendo l'hash e il modo c'è.
Anche usare il salt non è una soluzione, o meglio sì lo è in quanto complica notevolissimamente il compito, ma anche qui esistono dei programmi che vengono in aiuto. Ad esempio su questo forum (http://www.waraxe.us/forums.html) si trova un programmino che pare sia in grado di recuperare l'ash e poi la pass partendo da hash+salt di alcuni famosi software (ipb, phpbb eccetera).
Come detto il salt complica moltissimo le cose rendendo praticamente (ma non assolutamente) impossibile recuperare la stringa originale e quindi è una ottima soluzione, ma da sola non basta.
Password complesse (esempio tipico: 8 caratteri minimo, con almeno un numero e un carattere speciale non a inizio o fine pwd, possibilmente senza uso di parole di senso compiuto) più salt mettono al riparo dal 98% dei maleintenzionati.
Permessi di invio
Rispondi quotando