Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 17

Discussione: hashing password

  1. #1
    Utente di HTML.it L'avatar di Lak3d
    Registrato dal
    Aug 2006
    Messaggi
    1,031

    hashing password

    Una curiosità: con le funzioni come md5 e compagnia ottengo la criptazione della stringa passata come argomento, giusto? E quando devo verificarla? esiste la funzione per fare il procedimento inverso di decrypt?

    Oppure mysql ne contiene di più sicure ed è meglio utilizzare quelle?

  2. #2
    Utente di HTML.it
    Registrato dal
    Feb 2002
    Messaggi
    867
    Cripti la pasword che ti da l'utente e fai il confronto con la password criptata che hai salvato nel db....

    No pvt per sollecitare risposte, grazie.

  3. #3
    Utente di HTML.it L'avatar di Lak3d
    Registrato dal
    Aug 2006
    Messaggi
    1,031
    sì, mi sono spiegato male... per verificarla intendevo se da amministratore avessi bisogno di vedere le password in chiaro per qualche motivo.

  4. #4
    no non ti serve vedere quelle in chiaro

    quando la salvi, $database = md5($s)

    quando la confronti usi if ($database == md5($inserito))



  5. #5
    Utente di HTML.it L'avatar di Lak3d
    Registrato dal
    Aug 2006
    Messaggi
    1,031
    sì, fin lì c'ero arrivato. Ipotizziamo che debba, essendo amministratore, loggarmi con l'account di un utente per fare delle operazioni. Come faccio non conoscendone la password? Mi sembra strano che non esista un metodo...

  6. #6
    MD5 è un algoritmo di hashing one way quindi non si può risalire alla stringa sorgente a meno di non procedere per confronti successivi (leggesi brutal force).

  7. #7
    Utente di HTML.it L'avatar di Lak3d
    Registrato dal
    Aug 2006
    Messaggi
    1,031
    quindi l'admin non può fare proprio nulla?
    Certo, potrei fare un update e cambiare password, indi loggarmi, ma così cambierei la password all'utente... non ha senso... deve esistere un modo.

    Capisco che se qualcuno riuscisse ad aver accesso al database potrebbe entrare in possesso della chiave cifrata, decifrarla e loggarsi con account che gli paiono e piacciono, ma mi suona troppo strano che non esista un metodo per ovviare al problema se non salvando la password prima di decifrarla in un'altra tabella/campo...

  8. #8
    ipotizzando che sei amministratore puoi fare uno qualcosa che ti fa saltare il controllo dellla password

  9. #9
    Utente di HTML.it L'avatar di Lak3d
    Registrato dal
    Aug 2006
    Messaggi
    1,031
    esattamente, e il sistema è già anche implementato. Con l'account a cui c'è associato un livello admin c'è la possibilità di premere delete su ogni singolo dato inserito nel sito, a prescindere da chi l'abbia inserito.

    Ma volevo andare oltre... vorreste dirmi che l'admin di un forum non conosce le nostre password?

  10. #10

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.