[Curiosità MySQL] pass in chiaro e md5

[Hornwind]

$db = mysql_connect($db_host,$db_user,$db_password);

$db_password deve essere una stringa in chiaro...

[piero.mac]

Originariamente inviato da Hornwind
$db = mysql_connect($db_host,$db_user,$db_password);

$db_password deve essere una stringa in chiaro...

Ma chi lo ha detto? Una pwd la proteggi dalla lettura sul db. Non dalla lettura su un file di connessione.

Puo' essere una stringa hash. Il db di mysql assegna un campo varchar(16) ma lo puoi ampliare a 32, oppure usare password() di mysql che crea hash a 16 byte, prossimamente anche MD5() potra' farlo.

Tieni presente che la connessione (mysql_connect) non avviene con dati passati da uno user, ma da uno script lato server con cui il client non puo' interagire. Ovvio che se lasci accesso al PC a chiunque, non necessita di password, ne in chiaro ne cryptate, per fare danni.

Il problema esiste nei dati passati dallo user. Anche se ora mi viene il dubbio di cosa voleva sapere Vre.

[Hornwind]

Originariamente inviato da spoon25
ma stai parlando della password per connettersi al DB?

In questo caso dubito fortemente che tu possa passarla non in chiaro, anche perché non servirebbe a nulla passare il risultato di md5($password_in_chiaro); , se qualcuno trova la password in md5 potrà usarla visto che il DB la accetta come buona, dunque il risultato è sempre lo stesso.

[piero.mac]

Originariamente inviato da Vre
ma se metto la pass in md5 non riesco a collegarmi al db mysql,volevo sapere se era possibile collegrsi al db mysql utilizzando pass in md5 invece che in chiaro.

Devi usare password() che crea un hash a 16 char, mentre MD5() lo crea a 32. In questo modo chi accede al db non potra' risalire alla password in chiaro.


X Hornwind

Non voglio creare flame su questo argomento. Chiudo con questo:

Affermi che non si puo' cryptare e questo non risponde alla verita'. Si puo' eccome. Le mie sono tutte cryptate.

Affermi che e' inutile, e questo non risponde a verita'. Nel caso qualcuno acceda alla tabella user, non puo' ricostruire la mia pwd.
Ma se accede alla tabella user, accede a tutto il db.....

Se si parte dal principio che posso copiare la password, stiamo perdendo tempo in due a discutere. Tanto vale lasciare la porta aperta. Ma non credo sia il caso, no?

[Hornwind]

Stiamo parlando di due cose diverse... è chiaro che si possono mettere le password criptate nel db, ma quando accedi al db mi spieghi come fai a usare una password criptata ? La funzione php vuole la stringa che deve confrontare con quella memorizzata, che sia in chiaro o il frutto di una crittografazione cosa cambia ? Tu devi sempre passare il valore corretto. Comunque se mi fai un esempio di accesso (collegamento) con password criptata puoi dissipare ogni mio dubbio.

[piero.mac]

Certo, ma non siamo coerenti. Comunque:

creazione account su db:
INSERT INTO user (Host, User, password)
VALUES ('tuo_host', 'tuo_user', PASSWORD('ciao£pier2')

File di config.inc.php
$host = 'tuo_host';
$user = 'tuo_user';
$pwd = 'ciao£pier2';

connessione
$db = mysql_connect($host, $user, password($pwd));

La connessione e' nel mio script, la config in un file protetto dal parser php. Chi accede al db (diciamo per manutenzione) non vede la pwd in chiaro.

Ripeto: Se si parte dal principio che posso copiare la password, stiamo perdendo tempo in due. Ma si devono creare ostacoli .... Se mi possono violentare non vuol dire che posso andare in giro nudo, potrebbe essere un incitamento (nel mio caso sarei una dissuasione ).

[Hornwind]

ok, adesso ci siamo... quello che volevo dire io è che non c'è alcuna differenza tra $pwd e password($pwd)... è sempre una stringa. Chiaramente se qualcuno dovesse scoprire il file .php la tua strategia potrebbe potreggerti... Ok, hai perfettamente ragione !
E adesso basta !!!

[Vre]

I miei dubbi sono stati più che risolti^_______^
Vedrò che fare ...
Ciao ciao a tutti

[Hornwind]

VVoVe: CHIUDIAMO QUESTA DISCUSSIONE !!!!!