Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi, ich möchte das jeder User sein Passwort eingeben muß bevor er weiter kommt, zum vergeleichen habe ich folgende Script :


...
if($log)
{
# Passwort abfrage
#
$db_passwd = mysql_connect($mysqlhost, $mysqluser, $mysqlpassword);
$sqlab_passwd = "select * from user where name='$user'";
$res_passwd = mysql_db_query("$mysqldb", $sqlab_passwd);
$ori_passwd = mysql_result($res_passwd, 0,"passwd");
mysql_close($db_passwd);
if($pass===$ori_passwd)
{
....
[/php]

So, hier wird verglichen ob das Password , welches vom User eingegeben wurde, mit dem aus der Mysql-Datenbank übereinstimmt.

Nur liegen die Passwörter in klar Text in der Datenbank.

Nun meine Frage ist es sinvoll die Passwört so in der Mysql-Datenbank zu speichern ? - Oder

sollte leiber ein Verschlüsselungsalgorytmus zum zuge kommen ?

Falls ja habt ihr auch eventuell schon eine Idee wie soetwas aussieht ?

Bis denn Tool-Time :)

Geschrieben

bei der speicherung solltest du die passwörter mit md5() verschlüsseln und so auch in der db speicher. md5() ist eine one way verschlüsselung.

zum vergleich kannst du dann folgenden select verwenden:

select * from user where username='".$username."' AND pass='".md5($passwort)."'

Geschrieben
Original geschrieben von MiH

bei der speicherung solltest du die passwörter mit md5() verschlüsseln und so auch in der db speicher. md5() ist eine one way verschlüsselung.

zum vergleich kannst du dann folgenden select verwenden:

select * from user where username='".$username."' AND pass='".md5($passwort)."'

Dadurch Verschlüssel ich doch die Verbindung zu Datenbank,oder ?

Geschrieben

Nein, Du verschlüsselst das Passwort und speicherst es in die Datenbank.

Wenn der Nutzer zurück kommt und sein Passwort wieder eingibt, verschlüsselst Du dieses wieder mit der gleichen Funktion.

Jetzt vergleichst Du das verschlüsselte Passwort aus der Datenbank mit dem verschlüsseltem Passwort der Benutzereingabe. Bei Übereinstimmung läßt Du ihn durch.

Dadurch stehen keine Passwörter im Klartext in der Datenbank, man kann diese auch nicht entschlüsseln, da es eine Oneway Verschlüsslung ist.

Geschrieben
Original geschrieben von exe[tm]

Bingo.


$pass= md5($passwort_eingabe);
[/php]

und dann ab damit in die Datenbank. [/b]

Danke exe[tm] :)

ich werde es gleich einmal probieren

Noch nen schönen Feiertag Tool-Time :OD

Geschrieben

md5 verschlüsselt? Leider völliger Blödsinn, sorry.

http://www.php.net/manual/en/function.md5.php

md5 is nur die Prüfsumme.

Macht aber trotzdem sinn, md5 zu benutzen, da diese Prüfsumme nur genau das gleich ist, wenn das Passwort auch gleich ist.

Vorteil hierbei im gegesatz zu gecrypt()en Sachen ist, dass am Ende immer das gleiche rauskommt, bei crypt() gibts immer andere Ergebnisse.

Geschrieben

In MySQL-Abfragen gibts doch auch noch PASSWORD()...

Damit hat man ebenfalls ein verschlüsseltes Passwort in der DB. Einfügen und überprüfen funzt übrigens genau wie bei den anderen Möglichkeiten (md5 und crypt)...

Geschrieben
Original geschrieben von E-T

Gibt des denn ache eine sichere Möglichkeit das Passwort aus dem HTML-Formular ins Script zu übertragen (ohne SSL)?

Ohne Applet, nein.

Man kann wohl auch in Javascript verschlüsseln, aber da der Quellcode ja im Klartext vorliegt, kann ein erfahrener Programmierer das zurückverfolgen.

Gruß Jaraz

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...