[PHP] Password wegschrijven naar de db *

Verwijderd schreef op 11 June 2003 @ 12:46:
Dit werkt niet echt.....

PHP:

1 2 3 4 5 6 7 8

if (empty($_POST)) { } else { $query = "INSERT INTO gebruiker(loginnaam, wachtwoord) "; $query .= "VALUES ('"; $query .= $_POST["login"] ."', '" ; $query .= MD5($_POST["pass"]) ."');" ; $result = mysql_query($query) or die ("FOUT: " . mysql_error()); }

[ Voor 51% gewijzigd door RobIII op 11-06-2003 12:48 ]

Dit werkt niet echt.....

[ Voor 12% gewijzigd door Bosmonster op 11-06-2003 12:49 ]

Verwijderd schreef op 11 June 2003 @ 14:17:
je kunt toch gewoon de mysql password functie gebruiken
insert into table (username,password) values('username', password('password'));

PASSWORD() encryption is non-reversible. PASSWORD() does not perform password encryption in the same way that Unix passwords are encrypted. See ENCRYPT(). Note: The PASSWORD() function is used by the authentication system in MySQL Server, you should NOT use it in your own applications. For that purpose, use MD5() or SHA1() instead. Also see RFC-2195 for more information about handling passwords and authentication securely in your application

Verwijderd schreef op 11 June 2003 @ 12:50:
Het password wordt op deze manier nog steeds leesbaar weggeschreven. Sorry voor de onvolledige info van net.

Coolhva schreef op 11 juni 2003 @ 15:23:
Ik wil me niet tussen de discussie mengen (doe het toch), maar MD5 is toch alleen van toepassing op Linux machines en niet als je op NT draait b.v.

Erkens schreef op 11 June 2003 @ 14:22:
[...]

daar is die niet voor bedoeld


[...]

Verwijderd schreef op 11 juni 2003 @ 16:32:
[...]


maar het werkt prima, terug vergelijken met select password('password')

Erkens schreef op 11 June 2003 @ 16:37:
[...]

tuurlijk, maar verstandig is het niet, aangezien deze functie gebruikt wordt voor de mysql passwords en ik geloof dat die hetzelfde was als md5.
En als mysql opeens een ander agloritme wilt gebruiken hoeven ze enkel de password() te herdefinieren.
Alleen jouw applicaties werken dan niet meer

Verwijderd schreef op 11 June 2003 @ 18:11:
[...]


duh! ieder voordeel heb zun nadeel

Erkens schreef op 11 juni 2003 @ 18:13:
[...]

wat is het voordeel van password() gebruiken als md5() hetzelfde doet en minder typwerk is

Verwijderd schreef op 11 June 2003 @ 18:20:
[...]


je hebt dan uitsluitend mysql nodig.
als je bijvoorbeeld een frontend in acces hebt met pass-through queries dan werkt dat gewoon.

Verwijderd schreef op 11 juni 2003 @ 22:01:
die reactie begrijp ik niet, je wil zeggen dat md5 in een query ook werkt?

Verwijderd schreef op 11 June 2003 @ 16:32:
maar het werkt prima, terug vergelijken met select password('password')

ReLight schreef op 12 June 2003 @ 00:18:
Je kan een mysql tabel veld definieren als md5, als je er dan een string naar schrijft zal deze versleuteld worden ala MD5.

[ Voor 47% gewijzigd door Olaf van der Spek op 12-06-2003 00:43 ]

OlafvdSpek schreef op 12 juni 2003 @ 00:38:
Hoe define je een field als md5 in MySQL?

Ik kan het niet vinden op http://www.mysql.com/doc/en/CREATE_TABLE.html

Erkens schreef op 12 June 2003 @ 08:07:
gewoon een char(32)

Verwijderd schreef op 12 June 2003 @ 11:27:
Even @TS, want de discussie over md5 begint nu toch wel erg oninteressant lang te gaan duren. Je programmeerstyle klopt ook nog voor niet erg...
Beter is het om

PHP:

1	if(!empty($_POST))

te gebruiken, die if bij jou doet namelijk helemaal niks.

@RobinVr, de letters k, l, m en s komen niet voor in een md5, maar dat is vast een typfoutje geweest

OlafvdSpek schreef op 12 June 2003 @ 11:12:
[...]

Door wat ReLight zei dacht ik dat je een veld als echt als md5 kon definen en dat de md5 functie automatisch aangeroepen werd als je er iets in schreef.

Maar dat is dus niet zo.

beter is het om een isset te gebruiken zowel voor de $_POST zelf als voor de array elementen die je nodig hebt.

Verwijderd schreef op 12 June 2003 @ 11:37:
[offtopicraak]
[...]
Gebruik zelf altijd if($_SERVER["REQUEST_METHOD"] == "POST")

[/offtopicraak]

1
2
3

if (isset($_POST) && isset($_POST["login"]) && isset($_POST["password"])){
   ....
}

OlafvdSpek schreef op 12 June 2003 @ 11:12:
[...]

Door wat ReLight zei dacht ik dat je een veld als echt als md5 kon definen en dat de md5 functie automatisch aangeroepen werd als je er iets in schreef.

Maar dat is dus niet zo.

Verwijderd schreef op 12 June 2003 @ 11:37:
[offtopicraak]
[...]
Gebruik zelf altijd if($_SERVER["REQUEST_METHOD"] == "POST")

[/offtopicraak]

OlafvdSpek schreef op 12 June 2003 @ 00:38:
Hoe define je een field als md5 in MySQL?

Ik kan het niet vinden op http://www.mysql.com/doc/en/CREATE_TABLE.html

Verwijderd schreef op 11 juni 2003 @ 12:46:
Dit werkt niet echt.....

PHP:

1 2 3 4 5 6 7 8

if (empty($_POST)) { } else { $query = "INSERT INTO gebruiker(loginnaam, wachtwoord) "; $query .= "VALUES ('"; $query .= $_POST["login"] ."', '" ; $query .= MD5($_POST["pass"]) ."');" ; $result = mysql_query($query) or die ("FOUT: " . mysql_error()); }

1
2

$query .= $_POST["login"] ."', '";
$query .= MD5($_POST["pass"]) ."');";

1
2

$query .= $_POST["login"] ."', ";
$query .= "MD5('" .$_POST["pass"] ."'));";

[ Voor 61% gewijzigd door Dricus op 13-06-2003 16:52 ]

MrHuge schreef op 13 juni 2003 @ 16:49:
[...]
Maak van

PHP:

1 2	$query .= $_POST["login"] ."', '"; $query .= MD5($_POST["pass"]) ."');";

eens

PHP:

1 2	$query .= $_POST["login"] ."', "; $query .= "MD5('" .$_POST["pass"] ."'));";

MD5 is namelijk een MySQL functie, niet een PHP functie

Zooooo, draadje sluiten maar

1

$query.=md5($_POST["pass"])

MrHuge schreef op 13 June 2003 @ 16:49:
[...]
Maak van

PHP:

1 2	$query .= $_POST["login"] ."', '"; $query .= MD5($_POST["pass"]) ."');";

eens

PHP:

1 2	$query .= $_POST["login"] ."', "; $query .= "MD5('" .$_POST["pass"] ."'));";

MD5 is namelijk een MySQL functie, niet een PHP functie

Zooooo, draadje sluiten maar

LauPro schreef op 13 June 2003 @ 23:28:
Ff voor de BTW: maak van dat wachtwoord in php al een MD5-hash, dan kan men áls er dataverkeer getapt wordt iig geen plain passwords leechen.

Ik vraag me überhaupt ook af waarom SQL MD5() kent, imo moet je dat (bovenstaande reden) niet pas als het bij db is gaan encrypten, de kans dat de DB-serevr wordt gecrackt is kleiner dan dat er verkeer afgeluisterd wordt...

LauPro schreef op 13 juni 2003 @ 23:28:
Ff voor de BTW: maak van dat wachtwoord in php al een MD5-hash, dan kan men áls er dataverkeer getapt wordt iig geen plain passwords leechen.

Eegee schreef op 13 juni 2003 @ 23:42:
[...]
_{(dit snap je wel denk ik, dus ik denk dat ikzelf het doel van je post even niet zo goed snap)}
$_POST["pass"] is nog gewoon plain-text, dus aftappen kan iig gewoon nog wel tussen client/browser en server/php. Tussen server en db-server (als daar een verbinding tussen ligt, dus niet dezelfde server is) alleen niet meer.

Erkens schreef op 13 June 2003 @ 23:35:
[...]
mja, vaak (lees meestal) is db verkeer of lokaal of via een lan verbinding, dus om af te tappen moet je in dat netwerkje zitten

OlafvdSpek schreef op 14 June 2003 @ 11:31:
[...]
Is het niet veiliger om de DB link dan over SSH te laten lopen?

LauPro schreef op 14 juni 2003 @ 18:51:
[...]
Natuurlijk, maar gebeurt dat in de praktijk? Daarnaast wordt dat wachtwoord waarschijnlijk nog een keertje via de mail gestuurd, nou die e-mail is plain ook niet beveiligd dus dan heeft die beveiliging nog geen zin. Maar beter iets dan niets natuurlijk .

OlafvdSpek schreef op 14 juni 2003 @ 19:53:
[...]
Die mail wordt toch met PGP geencrypt? ;->
Maar even serieus, waarom zou je per wachtwoord een email versturen?
Als je een email adres wilt valideren, verstuur dan een activatie code.

Als ik connect naar de MySQL server van mijn host gebeurd dat trouwens wel met SSH.

Erkens schreef op 11 June 2003 @ 18:21:
[...]

is dat een voordeel?
het staat namelijk niet voor niets in de manual dat je password() niet moet gebruiken lijkt me

LauPro schreef op 15 June 2003 @ 02:07:
[...]
Geëncrypte e-mail is nog niet het geval bij het gros van de mensen, evenals sftp wat imo toch wel is moet komen, maarja dat snappen de meeste providers nog niet geloof ik.

Dan stuur je een activatiecode, maar ook die kan je aftappen. Natuurlijk is het het beste om helemaal geen wachtwoord te e-mailen, en bijv direct op de site te laten zien, maar nogmaals als je die link dus via een e-mail geeft dan geef je dus beveiligd dat wachtwoord aan de hacker/cracker . Feitelijk kan je dus onder de huidige omstandigheden geen 100% waterdicht systeem maken helaas.

RedRose schreef op 13 June 2003 @ 16:56:
[...]

PHP:

1	$query.=md5($_POST["pass"])

md5() is tevens een php-functie.