phpnews e criptazione password

**Caleb** · 12-01-2005, 01:39

ho scaricato e installato phpnews, ok funziona tutto ma c'è qualcosa che non mi quadra

in install.php c'è un semplice form per inserimento dati dell'admin, subito dopo c'è una sequela di query per creazione tabelle e campi e in fondo una insert per aggiungere l'utente admin

la cosa curiosa è che andando a fare una query sul db vedo che la password dell'admin è criptata come se fosse passata attraverso l'md5, ma nel sorgente non c'è nulla del genere tra l'inserimento della password nella variabile e l'inserimento del relativo valore nel db... dove caspita viene criptata quella password?

**Caleb** · 12-01-2005, 13:43

qui (click dx salva con nome) trovate il sorgente del file di installazione... chi mi aiuta a sbrogliare sta matassa?

gm · 12-01-2005, 15:13

Non usa md5, ma la funzione PASSWORD() di MySql

http://dev.mysql.com/doc/mysql/en/En...s.html#IDX1465

**Caleb** · 12-01-2005, 15:45

uh

e in quale punto del sorgente la sfrutta? non la trovo

gm · 12-01-2005, 15:49

L'ultima query INSERT, riga 655

**Caleb** · 12-01-2005, 15:53

cioè aspetta... la query l'avevo trovata ma è proprio in quella query che non capisco dove e come venga sfruttata questa funzione

Codice PHP:


            mysql_query('INSERT INTO '. $dbprefix  .'posters VALUES (\'1\', \''. $user .'\', [b]password[/b](\''. $pass .'\'), \'\', \'\', \'\', \'admin\')')

 or $postersdata = $language['CONTENT_INSTALLER_ERROREXISTS'];

ma sì sfanculiamo un po' il layout

edit: ma cazz ce l'avevo davanti agli occhi... con tutte quelle variabili di nome password non mi ero accorto che in quella query password è proprio la funzione

**Caleb** · 12-01-2005, 15:59

però però... citando dal tuo link:

Note: The PASSWORD() function is used by the authentication system in MySQL Server, you should not use it in your own applications. For that purpose, use MD5() or SHA1() instead. Also see RFC 2195 for more information about handling passwords and authentication securely in your application.

vale a dire che l'uso di PASSWORD in quel sorgente è sconsigliato?

gm · 12-01-2005, 16:30

Certo md5() e sha1() sono sistemi di hashing più sicuri, ma la funzione password() è sufficientemente sicura, tanto che MySql l'ha usata per crittare le password degli utenti fino alla versione 4.0

**Caleb** · 12-01-2005, 16:41

ok quindi normalmente non si gestiscono mai le password in chiaro ma sempre il loro risultato dell'hashing (indipendentemente dal metodo), sia in lettura che in scrittura

gm · 12-01-2005, 16:54

Originariamente inviato da Caleb
ok quindi normalmente non si gestiscono mai le password in chiaro ma sempre il loro risultato dell'hashing (indipendentemente dal metodo), sia in lettura che in scrittura

E' una buona norma di sicurezza

Discussione: phpnews e criptazione password

Strumenti discussione

Ricerca discussione

Visualizza

phpnews e criptazione password

Permessi di invio