php - Hash på password - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php hash sikkerhed

<< < 1 2 3 > >>

Bruger #17136 @ 16.11.12 13:10

Hej

Jeg kigger lige tilbage til en tidlig tråde her på siden.
http://www.udvikleren.dk/forum/39024/sha256-vs-sha512/

Det er sådan at jeg kun godt tænke mig at gøre sådan at min siden ikke kun er på sha1. men dog er lidt mere sikker til at log in og mange andre ting.

Nu prøve jeg lave et f.eks.

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = sha1($hash);//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

eller skal jeg gøre det på den her måde?

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = $hash;//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

Det er bare sådan at jeg kun godt tænke mig at forbedre min kode og brugers kode over for sikkerheden da jeg mener klart det er utrolige vigtigt tid i dag.

håber du kan hjælp mig videre eller vejledning mig videre til at det kan blive godt og sikkert.

25 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #17136 @ 16.11.12 14:56

Man kan ikke neste funktioner i PHP så læg funktionen udenfor.

Tror ikke du forstår helt hvad jeg mente med det ;

PHP kode

 function bruger_opret_siden(){
             if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
             {
                 $stmt->bind_param('s', $brugernavn);
                 $brugernavn = $_POST["brugernavn"];
                 $stmt->execute();
                 $stmt->store_result();
                 $count = $stmt->num_rows;
                 $stmt->close();
                 if($count > 0)
                 {
                     $user_found = 1;
                 }
             }
             if(!isset($user_found))
             {
                 if(empty($_POST["brugernavn"]))
                 {
                     $errors = 1;
                     // bla bla bla
                 }
                 
                 if(!isset($errors))
                 {
                     $pb = null;
                         
                     include 'function/class.upload.php';
                     $handle = new Upload($_FILES["file"]);
                     
                     if($handle->uploaded)
                     {
                         // bla bla bla    
 
                     }
                 function generateSalt($length) {
                      $alphabet = './';
                      $alphabet_length = strlen($alphabet);
                      $salt = '';
                      for ($i = 0; $i < $length; $i++) {
                          $salt .= $alphabet[rand(0, $alphabet_length - 1)];
                      }
                      return $salt;
                  }

Bruger #2695 @ 16.11.12 15:01

1.963

PHP kode

 function generateSalt($length) {
     $alphabet = './';
     $alphabet_length = strlen($alphabet);
     $salt = '';
     for ($i = 0; $i < $length; $i++) {
         $salt .= $alphabet[rand(0, $alphabet_length - 1)];
     }
     return $salt;
 }
 
 function bruger_opret_siden(){
     if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
 ....

Bruger #17136 @ 16.11.12 15:06

PHP kode

 function generateSalt($length) {
     $alphabet = './';
     $alphabet_length = strlen($alphabet);
     $salt = '';
     for ($i = 0; $i < $length; $i++) {
         $salt .= $alphabet[rand(0, $alphabet_length - 1)];
     }
     return $salt;
 }
 
 function bruger_opret_siden(){
     if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
 ....

Du vil ha det sådan her ikke også?..

PHP kode

 function generateSalt($length) {
          $alphabet = './Oo1$yU1O+AAB?!OOCA5B7(_ZSCs9QyE!^6i!921@_a&VnhsVI8F?ws7?R@F_Q;sW_XzTm2ktRv%srNc_-+F';
          $alphabet_length = strlen($alphabet);
          $salt = '';
          for ($i = 0; $i < $length; $i++) {
              $salt .= $alphabet[rand(0, $alphabet_length - 1)];
          }
          return $salt;
      }
 
     function bruger_opret_siden(){
             if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
             {
                 $stmt->bind_param('s', $brugernavn);
                 $brugernavn = $_POST["brugernavn"];
                 $stmt->execute();
                 $stmt->store_result();
                 $count = $stmt->num_rows;
                 $stmt->close();
                 if($count > 0)
                 {
                     $user_found = 1;
                 }
             }
             if(!isset($user_found))
             {
                 if($_POST["pass"] != $_POST["gentag"])
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive ens password på siden..</li>";
                 }
                 if(empty($_POST["pass"]) && empty($_POST["gentag"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et password på siden..</li>";
                 }
                 if(empty($_POST["navn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Fornavn</li>";
                 }
                 if(empty($_POST["efternavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Efternavn</li>";
                 }
                 if(empty($_POST["land_by"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en by</li>";
                 }
                 if(empty($_POST["hojde"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 if(empty($_POST["email"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Email</li>";
                 }
                 if(empty($_POST["brugernavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 
                 if(!isset($errors))
                 {
                     $pb = null;
                         
                     include 'function/class.upload.php';
                     $handle = new Upload($_FILES["file"]);
                     
                     if($handle->uploaded)
                     {
                         //lidt mere store billeder
                         $handle->image_resize = true;
                         $handle->image_ratio_y = true;
                         $handle->image_x = 220;
                         $handle->Process("profil-img/store");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 115;
                         $handle->image_x = 100;
                         $handle->Process("profil-img");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 75;
                         $handle->image_x = 75;
                         $handle->Process("profil-img/lille");
                         $pb = $handle->file_dst_name;            
 
                     }
              
                  $password = $_POST["pass"];
                  $algorithm = '$6$'; //<--- Dette betyder SHA 512
                  $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
              
                  $hash = crypt($password, $algorithm . $salt);
 
                 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
                 (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
                 VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
                 {
                     
                     $stmt->bind_param('isssssssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
                     $rank = '1';
                     $email = $_POST["email"];
                     $brugernavn = $_POST["brugernavn"];//C
                     $password = $hash;//C
                     $profilbillede = $pb;//C

Bruger #2695 @ 16.11.12 15:10

1.963

Yeps, men lad være med at ændre på alfabetet. Det skal bare indeholde det som jeg skrev i mit første indlæg. Det har ikke noget med dit password at gøre, men er kun de tegn, som er tilladte i saltet, og der er nogen tegn, som ikke er tilladte dér.

Bruger #17136 @ 16.11.12 15:21

Yeps, men lad være med at ændre på alfabetet. Det skal bare indeholde det som jeg skrev i mit første indlæg. Det har ikke noget med dit password at gøre, men er kun de tegn, som er tilladte i saltet, og der er nogen tegn, som ikke er tilladte dér.

Okay,

Kan jeg f.eks gøre sådan her så ;

PHP kode

 $alphabet = './AbCD11EFGHIJA222BoAKLTUVWXYZabc51defghijklmnop12z0123456789';

Bruger #2695 @ 16.11.12 15:24

1.963

Hvad vil du opnå ved det ?
Du forringer sikkerheden fordi der mangler visse tegn og der er visse tegn som forekommer flere gange.

Det er bare de tegn, som må bruges i saltet, og funktionen returnerer 16 tilfældigt valgte tegn fra alfabetet. At du sætter dem i uorden giver ikke nogen god effekt.

Bruger #17136 @ 16.11.12 15:30

Hvad vil du opnå ved det ?
Du forringer sikkerheden fordi der mangler visse tegn og der er visse tegn som forekommer flere gange.

Det er bare de tegn, som må bruges i saltet, og funktionen returnerer 16 tilfældigt valgte tegn fra alfabetet. At du sætter dem i uorden giver ikke nogen god effekt.

Okay

Tak for hjælp, jeg giveer dig lige +1 op for her om 2min når jeg har test det hele og det virker

EIDT

Fejl her;

$salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

PHP kode

 */
      
      function generateSalt($length) {
          $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
          $alphabet_length = strlen($alphabet);
          $salt = '';
          for ($i = 0; $i < $length; $i++) {
              $salt .= $alphabet[rand(0, $alphabet_length - 1)];
          }
          return $salt;
      }
      
      /*
      * Opret bruger på siden og kan har mulighed for alle ting!..
      */
 
     function bruger_opret_siden(){
             if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
             {
                 $stmt->bind_param('s', $brugernavn);
                 $brugernavn = $_POST["brugernavn"];
                 $stmt->execute();
                 $stmt->store_result();
                 $count = $stmt->num_rows;
                 $stmt->close();
                 if($count > 0)
                 {
                     $user_found = 1;
                 }
             }
             if(!isset($user_found))
             {
                 if($_POST["pass"] != $_POST["gentag"])
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive ens password på siden..</li>";
                 }
                 if(empty($_POST["pass"]) && empty($_POST["gentag"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et password på siden..</li>";
                 }
                 if(empty($_POST["navn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Fornavn</li>";
                 }
                 if(empty($_POST["efternavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Efternavn</li>";
                 }
                 if(empty($_POST["land_by"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en by</li>";
                 }
                 if(empty($_POST["hojde"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 if(empty($_POST["email"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Email</li>";
                 }
                 if(empty($_POST["brugernavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 
                 if(!isset($errors))
                 {
                     $pb = null;
                         
                     include 'function/class.upload.php';
                     $handle = new Upload($_FILES["file"]);
                     
                     if($handle->uploaded)
                     {
                         //lidt mere store billeder
                         $handle->image_resize = true;
                         $handle->image_ratio_y = true;
                         $handle->image_x = 220;
                         $handle->Process("profil-img/store");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 115;
                         $handle->image_x = 100;
                         $handle->Process("profil-img");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 75;
                         $handle->image_x = 75;
                         $handle->Process("profil-img/lille");
                         $pb = $handle->file_dst_name;            
 
                     }
              
                  $password = $_POST["pass"];
                  $algorithm = '$6$'; //<--- Dette betyder SHA 512
                  $salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
              
                  $hash = crypt($password, $algorithm . $salt);
 
                 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
                 (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `profilbillede_godkendt`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
                 VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
                 {
                     
                     $stmt->bind_param('issssisssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $pb_godkendt, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
                     $rank = '1';
                     $pb_godkendt = '1';
                     $email = $_POST["email"];
                     $brugernavn = $_POST["brugernavn"];//C
                     $password = $hash;//C
                     $profilbillede = $pb;//C
                     $navn = $_POST["navn"];
                     $efternavn = $_POST["efternavn"];
                     $alder_d = $_POST["alder_d"];
                     $alder_m = $_POST["alder_m"];
                     $alder_aar = $_POST["alder_aar"];
                     $kon = $_POST["kon"];
                     $seksualitet = $_POST["seksualitet"];
                     $partnerstatus = $_POST["partnerstatus"];
                     $land_by = $_POST["land_by"];
                     $hojde = $_POST["hojde"];
                     
                     $stmt->execute();
                     $stmt->close();
                     
                     echo "godkendt";
                         
                     }
                     else
                     {
                         /* Der er opstået en fejl */
                         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
                     }
                 }
             }
             else
             {
                 echo "<li id=\"check_not\">Dette brugernavn er optaget!!</li>";
             }
     }

over på den side hvor de bliver henter altså functionerne

PHP kode

 <?php
             if(isset($_POST["godkendt_bruger"]))
             {
                 $pass = $mebe->generateSalt();
                 $users = $mebe->bruger_opret_siden();
             }
             else
             {
                 echo "<li id=\"check_opret\">Indtast dine oplysninger herunder for at opret en bruger</li>";
             }
             ?>

bare skriver fejl sådan her;

Fatal error: Call to undefined function generateSalt() in /home/jesperbo/public_html/mebe/function/function.php on line 607

Fejl her;

$salt = generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

Indlæg senest redigeret d. 16.11.2012 16:16 af Bruger #17136

Bruger #16075 @ 16.11.12 17:36

1.223

når du kalder en function inde i classen fra en anden function skal der $this foran, da det er inde for dette object
prøv at skrive sådan istedet:
$salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

Kode

if(isset($_POST["godkendt_bruger"]))
{
$pass = $mebe->generateSalt(); // <--  brokker den sig ikke over der mangler en parameter her ??
$users = $mebe->bruger_opret_siden();
}

Indlæg senest redigeret d. 16.11.2012 17:36 af Bruger #16075

Bruger #17136 @ 16.11.12 19:24

når du kalder en function inde i classen fra en anden function skal der $this foran, da det er inde for dette object
prøv at skrive sådan istedet:
$salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

Kode
if(isset($_POST["godkendt_bruger"]))
{
$pass = $mebe->generateSalt(); // <--  brokker den sig ikke over der mangler en parameter her ??
$users = $mebe->bruger_opret_siden();
} 

nej det gøre den ikke..

Det virker fint men lige nu arbejder jeg med log ind system,

PHP kode

 function godkendt_bruger_login(){
          $password = $_POST["pass"];
          $algorithm = '$6$'; //<--- Dette betyder SHA 512
          $salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
         if($stmt = $this->mysqli->prepare('SELECT `id`, `brugernavn`, `rank`, `profilbillede`, `profilbillede_godkendt` FROM `bruger` WHERE `brugernavn` = ? AND `password` = ?'))
         {
         $stmt->bind_param('ss', $brugernavn, $password);
         $brugernavn = $_POST["brugernavn"];
         $password = $hash;;
         $stmt->execute();
         $stmt->store_result();
         $stmt->bind_result($id, $brugernavn, $rank, $profilbillede, $profilbillede_godkendt);
         $stmt->fetch();
         $count = $stmt->num_rows;
         $stmt->close();
     
         if($count > 0)
         {
             $_SESSION["logged_in"] = true;
             $_SESSION["id"] = $id;
             $_SESSION["profilbillede"] = $profilbillede;
             $_SESSION["brugernavn"] = $brugernavn;
             $_SESSION["rank"] = $rank;
             $_SESSION["profilbillede_godkendt"] = $profilbillede_godkendt;
     
             if($_SESSION["logged_in"] == true)
             {
                 echo "Godkendt";
             }
             else
             {
                 echo "<p>Desværre prøve igen brugernavn eller adgangskode passe ikke med vores</p>";
             }
         }
         else
         {
             echo "<p>Skrive brugernavn og Password</p>";
         }
     }
     }

PHP kode

 <?php
     /*
      * Giver admin adgang til se indhold på siden.
      */
     if(isset($_SESSION["rank"]) && $_SESSION["rank"] > 0) {
         $bruger = $mebe->brugerindhold_side();
     }
     
     
     /*
      * Hvis ingen af dem så få de bare adgang sådan her..
      */
     else{
     ?>
 <form name="login" method="post" action="#">
     <h1>Log ind</h1>
     <p>Brugernavn</p><input type="text" name="brugernavn"/>
     <p>Password</p><input type="password" name="pass"/>
     <br />
     <input type="submit" name="Log_ind" value="Log ind" id="login">
     <?php
     if(isset($_POST["Log_ind"]))
     {
     $pass = $mebe->generateSalt();
     $login = $mebe->godkendt_bruger_login();
     }
     ?>
     <ul>
         <li><a href="">Glemt Brugernavn</a></li>
         <li><a href="/opret-bruger/">Opret Bruger</a></li>
     </ul>
 </form>
 <?php
     }
 ?>

Den virker ikke..

Indlæg senest redigeret d. 16.11.2012 19:29 af Bruger #17136

Bruger #16075 @ 16.11.12 19:53

1.223

nej det gøre den ikke..

Det virker fint men lige nu arbejder jeg med log ind system,

forstår jeg ikke !! virker det, eller virker det ikke ??

udskriver den nogle fejl ??

$password = $_POST["pass"];
~~$algorithm = '$6$'; //<--- Dette betyder SHA 512~~
$salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

$algorithm kan du godt slette, det anvendte Robert ifm. crypt

$pass = $mebe->generateSalt(); // <-- du mangler at angive hvor langt password skal være

ret det til
$pass = $mebe->generateSalt(12); // password bliver 12 karakterer langt

jeg ville overveje at ligge functionen uden for classen, så det bliver en fri function (ikke indkapslet i et object).

jeg ville overveje at give den en default værdi på, som træder i kræft hvis der ikke angives en værdi.
function generateSalt($length=12) {

jeg ville nok bruge en anden function til at generarer salt/password, da den er mere flexibel
taget direkte fra http://php.net/shuffle

tyler at CompLangs dot com 01-Jan-2010 06:59
Here is a quick function I wrote that generates a random password and uses shuffle() to easily shuffle the order.

Kode

<?php
function randPass($upper = 3, $lower = 3, $numeric = 3, $other = 2) {
    //we need these vars to create a password string
    $passOrder = Array();
    $passWord = '';

    //generate the contents of the password
    for ($i = 0; $i < $upper; $i++) {
        $passOrder[] = chr(rand(65, 90));
    }
    for ($i = 0; $i < $lower; $i++) {
        $passOrder[] = chr(rand(97, 122));
    }
    for ($i = 0; $i < $numeric; $i++) {
        $passOrder[] = chr(rand(48, 57));
    }
    for ($i = 0; $i < $other; $i++) {
        $passOrder[] = chr(rand(33, 47));
    }

    //randomize the order of characters
    shuffle($passOrder);

    //concatenate into a string
    foreach ($passOrder as $char) {
        $passWord .= $char;
    }

    //we're done
    return $passWord;
}
?>

<< < 1 2 3 > >>

Hash på password

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler