criptare password da mettere nel mysql

[G181]

Salve sono riuscito ad impostare un sistema di login logout registrazion e commento abbastanza efficiente che devo ancora migliorare molto...
Sapreste come fare in modo di mettere le password criptata nel mysql e fare poi anche il processo inverso ovvero metto come password cavolo me lo trasfora in ........ vabbe in un codice e poi nel login scrivo sempre cavolo ed entra...
Codice rgstrazione:
<?php
# inclusione del file di funzione
@include_once 'functions.php';
# istanza della classe
$obj = new Iscrizioni();
# chiamata al metodo per la verifica della sessione
if ($obj->verifica_sessione())
{
#redirect in caso di esito negativo
@header("location:area_riservata.php");
}
# chiamata al metodo per la registrazione
if ($_SERVER["REQUEST_METHOD"] == "POST")
{
$registrato = $obj->registra(htmlentities($_POST['nome_reale'], ENT_QUOTES), htmlentities($_POST['nome_utente'], ENT_QUOTES), htmlentities($_POST['password'], ENT_QUOTES), htmlentities($_POST['email'], ENT_QUOTES));
# controllo sull'esito del metodo
if ($registrato) {
# notifica in caso di esito positivo
echo 'Registrazione conclusa ora puoi loggarti.';
}else{
# notifica in caso di esito negativo
echo 'stai cercando di registrarti con dei dati gi&aacute; presenti nel database o hai dimenticato dei campi.';
}
}
# form per l'iscrizione
?>
<form method="POST" action="<?php echo $_SERVER['PHP_SELF']; ?>" id="form_registrazione" name="registrazione">
<label>Nome:</label>

<input type="text" name="nome_reale" />

<label>Nome utente:</label>

<input type="text" name="nome_utente" />

<label>Password:</label>

<input type="password" name="password" />

<label>Il tuo indirizzo di posta elettronica:</label>

<input type="text" name="email" id="email" />


<input type="submit" name="registra" value="Registrami"/>


<label><span style="color: #ff0000;">Se sei gi&#225 registrato puoi loggarti da qui</span></label>
</form>

codice login:
<?php
# inizializzazione della sessione
@session_start();
# inclusione del file di funzione
@include_once 'functions.php';
# istanza della classe
$obj = new Iscrizioni();
# chiamata al metodo per la verifica della sessione
if ($obj->verifica_sessione())
{
# redirect in caso di esito positivo
@header("location:/index.php");
}
# chiamata al metodo per l'autenticazione
if ($_SERVER["REQUEST_METHOD"] == "POST") {
$login = $obj->verifica_login(htmlentities($_POST['email_o_nome_utente'], ENT_QUOTES), htmlentities($_POST['password'], ENT_QUOTES));
# controllo sull'esito del metodo
if ($login) {
# redirect in caso di esito positivo
@header("location:/index.php");
}
}
# form per l'autenticazione
?>

...form
grazie per l'aiuto in aticipo

[Alhazred]

REGISTRAZIONE
L'utente inserisce username e password nel form di registrazione, uno script riceve i 2 dati (anche altri se vuoi), il primo lo inserisci in chiaro nel db, la password la modifichi ad esempio passandola a sha1()

$crypted_pass = sha1($_POST['password']);
e nel db ci metti questa.

LOGIN
L'utente inserisce username e password nel form di login, esegui sul db una query del tipo

Codice PHP:

$username = mysql_real_escape_string($_POST['username']);
$password = sha1($_POST['password']);
$query = "SELECT * FROM utenti WHERE username='".$username."' AND password='".$password."'; 


Se trovi un riscontro bene, altrimenti username e/o password inserite nel login sono sbagliate.

[G181]

grazie mille grazie al tuo aiuto ho risolto tutto

[Ranma2]

Se vuoi proprio esser sicuro puoi combinare diversi tipi di crittografazione o aggiungere dei salt, ovvero delle stringe di caratteri per aumentare la complessità della password e la difficolta che l'hash sia in qualche database online.

Questo è un hash in sha1: 5be93480bd8b743454a93dca084849202af43af5

Se lo cerchi su google scoprirai in pochissimo tempo qual'è la password.

[amosrm]

So che non è lecito ...
ma è pertinente a questo thread forse troppo ....

A quale livello e come avviene l intercettazione di un stringa tramite la rete ?

Dai registri dei FIrewall è leggibile la stringa criptata ?
dai registri del browser o del sistema ?

Si cripta per nascondere sul DB ma in primo luogo dal broewser al server ...

So che tutto è fattibile , ma
Ma per fare intercettazioni , di stringhe in bit passate un determinato IP
bisogna avere accesso esclusivo ai log degli apparati di rete ?
oppure programmi spia o addirittura script potenti già pronti che
registrano bit che passano su ip , o è ancora + semplice di quello che immagino .
Oppure non so di che sto parlando ?

[Ranma2]

Originariamente inviato da amosrm
So che non è lecito ...
ma è pertinente a questo thread forse troppo ....

A quale livello e come avviene l intercettazione di un stringa tramite la rete ?

Dai registri dei FIrewall è leggibile la stringa criptata ?
dai registri del browser o del sistema ?

Si cripta per nascondere sul DB ma in primo luogo dal broewser al server ...

So che tutto è fattibile , ma
Ma per fare intercettazioni , di stringhe in bit passate un determinato IP
bisogna avere accesso esclusivo ai log degli apparati di rete ?
oppure programmi spia o addirittura script potenti già pronti che
registrano bit che passano su ip , o è ancora + semplice di quello che immagino .
Oppure non so di che sto parlando ?

beh nei log ci sono le chiamate http al server, se è passato in get trovi anche i parametri.

Per il resto basta essere in wireless per avere tutto, ma anche in lan si può (man in the middle) per esempio. Con una bella https risolvi quasi tutto

[amosrm]

Ho capito discorso caldo , e molto sul security .
si tratta di hacking e war ...
Grazie .

[amosrm]

Ripensandoci , Ranma
puoi passarmi qualche vicolo per saperne di + .
Thank ...