Ehm, buongiorno
sto rispolverando php dopo 2 anni e nn mi ricordo una mazza
volevo creare una sorta di area privata all'interno del mio sito. come faccio ? esiste una cosa simile al session di asp ?
altra cosa... ho letto vari 3e circa l'uso della funzione password() per criptare. Ma ho notato che poi ci sono un sacco di problemi per rivare la password. Qual'è il sistema migliore ? Io cmq sia la pswd nel mio db la voglio criptata... quindi ?
grazie mille
buona giornata
usa md5() (hash)Originariamente inviato da drummino^
Ehm, buongiorno
sto rispolverando php dopo 2 anni e nn mi ricordo una mazza
volevo creare una sorta di area privata all'interno del mio sito. come faccio ? esiste una cosa simile al session di asp ?
altra cosa... ho letto vari 3e circa l'uso della funzione password() per criptare. Ma ho notato che poi ci sono un sacco di problemi per rivare la password. Qual'è il sistema migliore ? Io cmq sia la pswd nel mio db la voglio criptata... quindi ?
grazie mille
buona giornata
http//it.php.net/md5
http://it.php.net/session
ottimo grazie mille
ma al livello di logica cosa mi consigli di fare ?
uno script che genera una pass nuova se il cliente la parde ? o cos'altro ?
grazie
hashando la password, non puoi più risalire all'originale, quindi puoi solo leggerla e per i controlli fai un if tra la pwd nel db e quella che ti arriva dal form(hashata anch'essa)Originariamente inviato da drummino^
ottimo grazie mille
ma al livello di logica cosa mi consigli di fare ?
uno script che genera una pass nuova se il cliente la parde ? o cos'altro ?
grazie
io resto sempre dell' idea che se uno riesce ad entrare nel database per leggere le password non hashate, riesce a legere anche tutti i dati per ogni utente, a prescindere dalla password che questo ha scelto ... quindi alla fine non so di fatto quanto sia "sicuro" mettere le passwords in md5 nel db ... pero' se devi farlo cosi' non hai altra soluzione che rigenerare una nuova password qualora quella vecchia sia stata persa
Bè in effetti ora che mi ci fai pensare bene a che serve hashare le password per metterle nel database? tanto se uno arriva a leggerle penso che non se ne faccià più di tanto.. Una volta bucato mysql può anche modificare direttamente da li i dati degli utenti...Originariamente inviato da andr3a
io resto sempre dell' idea che se uno riesce ad entrare nel database per leggere le password non hashate, riesce a legere anche tutti i dati per ogni utente, a prescindere dalla password che questo ha scelto ... quindi alla fine non so di fatto quanto sia "sicuro" mettere le passwords in md5 nel db ... pero' se devi farlo cosi' non hai altra soluzione che rigenerare una nuova password qualora quella vecchia sia stata persa
Potrebbe servire nel caso uno riesca solo ad accedere in lettura al database e quindi non sgama le password ma la vedo dura..
bo?
ciao ciao
Powered by
ASUS L5846GXUP P4 3.2 ATI9700 128M 512DDR 80GB
KUBUNTU 5.10 <----- Che spettacolo!!
Chicca ti voglio beneeeee :-)
vabbeh se uno buca mysql il gioco è fatto... voglio dire... a quel punto lasci tutto in chiaro se la pensi in quell'ottica... ma penso che sia dura bucare mysql no ?
credo opterò per il cript md5 e per la creazione di una pass nuova se l'utente la perde....
grazie cmq dei suggerimenti
si, e' duro da bucare, appunto non vedo differenza tra password hashata e non ... se ti fidi della durezza di mysql, che le hashi a fare ? "nessuno" potrebbe mai entrare nel db a leggersele ... e viceversa, se non e' cosi' affidabile e le password sono hashate, anche che uno entra in sola lettura, con una query si tira fuori tutto quello che gli pare per ogni utente ... non e' che gli serve, a quel punto, la password per entrare nel sito, ha gia' tutti i dati disponibiliOriginariamente inviato da drummino^
vabbeh se uno buca mysql il gioco è fatto... voglio dire... a quel punto lasci tutto in chiaro se la pensi in quell'ottica... ma penso che sia dura bucare mysql no ?
cmq consiglio sempre di hashare, perche' almeno se lo bucano solo per leggere, non riescono ad entrare e fare operazioni al posto degli utenti crackati
Si è vero.. però allora invece che passare la password dall'md5 si potrebbe criptare con uno script e quindi se l'utente perde la password non sappiamo come decriptare quella nel database e gliela rendiamo..Originariamente inviato da andr3a
cmq consiglio sempre di hashare, perche' almeno se lo bucano solo per leggere, non riescono ad entrare e fare operazioni al posto degli utenti crackati
ciao ciao
Powered by
ASUS L5846GXUP P4 3.2 ATI9700 128M 512DDR 80GB
KUBUNTU 5.10 <----- Che spettacolo!!
Chicca ti voglio beneeeee :-)
soluzione ottimale, esistono classi per criptare a 128 bit con chiave personale ... ergo l' amministratore o chi per lui conosce tale chiave ( alfanumerica da minimo 8, ovviamente ) puo' risalire alla password originale perche' la classe fa anche il reverse dell' hash criptato ottenuto tramite la chiave in questione.Originariamente inviato da IlNata
Si è vero.. però allora invece che passare la password dall'md5 si potrebbe criptare con uno script e quindi se l'utente perde la password non sappiamo come decriptare quella nel database e gliela rendiamo..
ciao ciao
Questo, a parer mio, e' il metodo piu' comodo e sicuro tanto quanto un hash md5
P.S. ovviamente tale chiave non dovra' mai comparire all' interno degli script, al massimo nel solo file esterno che fa la riconversione per coloro che l' hanno dimenticata, ma anche questo file dovrebbe essere in qualche modo protetto
Permessi di invio
Rispondi quotando