Salve,
come sempre questo forum è la mia ultima spiaggia quando ho un problema che non è facile da risolvere.
Praticamente ho un programma di un gestionale aziendale completato ma ho il problema che la password degli utenti è visibile in chiaro dal database e questo credo che è un problema! Esiste un modo facile per risolvere tutto ciò considerando che ho tabelle del db già con dati e lavoro già finito?
un modo, quello classico, è di conservare l'hash (md5, sha, quel che ti pare) della password. La maggior parte dei database gestisce in automatico la cosa.
Vantaggio evidente: dall'hash non si risale tanto facilmente alla password in chiaro.
Svantaggio: quando vuoi recuperare una password, l'unica possibilità che hai è settarne una nuova ed inviarla all'utente. Sarà quest'ultimo poi a cambiarla.
La complessità aggiuntiva è pari a zero.
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
grazie per la risposta velocissima, questo algoritmo mi sembra perfetto posso chiederti se hai un abbozzo di codice java?
non c'è niente da fare in java, oltre a riscrivere qualche query.
Quel che devi fare è mettere mano alla tabella utenti e modificarla in modo da "hashare" le password presenti.
Poi quando esegui una query per verificare se un utente c'è o meno, invece di farla così
avrai una query del genere (esempio con MD5)codice:SELECT * FROM utenti WHERE nome_utente = 'nome_passato_da_form' AND password = 'password_passata_da_form'
l'esempio di query è basato su database MySQL (almeno come sintassi). Documentati sulle reali potenzialità del database che andrai ad utilizzare per scrivere le query appropriate.codice:SELECT * FROM utenti WHERE nome_utente = 'nome_passato_da_form' AND password = MD5('password_passata_da_form')
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
ah perfetto, ancora meglio. Ma poi per recuperarla al momento del login? Prelevo la password dall'utente tramite jTextField e poi come faccio a confrontarla con quella del database?
guarda che la query te l'ho scritta...
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
Ah adesso credo di aver capito, quando un utente si registra al database:
codice:PreparedStatement pstmt = c.prepareStatement(INSERT INTO utenti" + "(USER,PASSWORD) values (?,?))mentre per prelevare uso la tua query ovvero:codice:pstmt.setString(2, "MD5"+"("+"password"+")");
codice:SELECT * FROM utenti WHERE nome_utente = 'nome_passato_da_form' AND password = 'password_passata_da_form'
E' giusta la sintassi usata per l'inserimento?
hai provato? non fai prima a provare invece che chiedere se va bene per ogni cosa?
<´¯)(¯`¤._)(¯`»ANDREA«´¯)(_.¤´¯)(¯`>
"The answer to your question is: welcome to tomorrow"
ehi se c'è un forum di discussione è per confrontarsi, magari non bisogna necessariamente provare conviene chiedere se ti risponde uno che ha più esperienza di te ci arrivi prima alla soluzione evitando tentativi perditempo, non sei d'accordo?
In ogni caso ti ringrazio per l'assistenza, ciao
Permessi di invio
Rispondi quotando