php - Hash på password - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php hash sikkerhed

<< < 1 2 3 > >>

Bruger #17136 @ 16.11.12 13:10

Hej

Jeg kigger lige tilbage til en tidlig tråde her på siden.
http://www.udvikleren.dk/forum/39024/sha256-vs-sha512/

Det er sådan at jeg kun godt tænke mig at gøre sådan at min siden ikke kun er på sha1. men dog er lidt mere sikker til at log in og mange andre ting.

Nu prøve jeg lave et f.eks.

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = sha1($hash);//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

eller skal jeg gøre det på den her måde?

PHP kode

 <?php
 $password = 'hejhejhej1230562368sdg4_dsghsjjjb_asa01' . $_POST["pass"];
 $hash = crypt($password);
 
 
 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` (`password`) VALUES (?)'))
 {
     $stmt->bind_param('s',$password);
 
     $password = $hash;//C
     
     $stmt->execute();
     $stmt->close();
     
     echo "godkendt";
         
     }
     else
     {
         /* Der er opstået en fejl */
         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
     }
 ?>

Det er bare sådan at jeg kun godt tænke mig at forbedre min kode og brugers kode over for sikkerheden da jeg mener klart det er utrolige vigtigt tid i dag.

håber du kan hjælp mig videre eller vejledning mig videre til at det kan blive godt og sikkert.

25 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #17136 @ 17.11.12 07:37

nej det gøre den ikke..

Det virker fint men lige nu arbejder jeg med log ind system,

forstår jeg ikke !! virker det, eller virker det ikke ??

udskriver den nogle fejl ??

$password = $_POST["pass"];
~~$algorithm = '$6$'; //<--- Dette betyder SHA 512~~
$salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt

$algorithm kan du godt slette, det anvendte Robert ifm. crypt

$pass = $mebe->generateSalt(); // <-- du mangler at angive hvor langt password skal være

ret det til
$pass = $mebe->generateSalt(12); // password bliver 12 karakterer langt

jeg ville overveje at ligge functionen uden for classen, så det bliver en fri function (ikke indkapslet i et object).

jeg ville overveje at give den en default værdi på, som træder i kræft hvis der ikke angives en værdi.
function generateSalt($length=12) {

jeg ville nok bruge en anden function til at generarer salt/password, da den er mere flexibel
taget direkte fra http://php.net/shuffle

tyler at CompLangs dot com 01-Jan-2010 06:59
Here is a quick function I wrote that generates a random password and uses shuffle() to easily shuffle the order.
Kode
<?php
function randPass($upper = 3, $lower = 3, $numeric = 3, $other = 2) {
    //we need these vars to create a password string
    $passOrder = Array();
    $passWord = '';

    //generate the contents of the password
    for ($i = 0; $i < $upper; $i++) {
        $passOrder[] = chr(rand(65, 90));
    }
    for ($i = 0; $i < $lower; $i++) {
        $passOrder[] = chr(rand(97, 122));
    }
    for ($i = 0; $i < $numeric; $i++) {
        $passOrder[] = chr(rand(48, 57));
    }
    for ($i = 0; $i < $other; $i++) {
        $passOrder[] = chr(rand(33, 47));
    }

    //randomize the order of characters
    shuffle($passOrder);

    //concatenate into a string
    foreach ($passOrder as $char) {
        $passWord .= $char;
    }

    //we're done
    return $passWord;
}
?>

Ronny, Jeg vil desværre ikke skifte igen Hvis du kan følge mig? Altså jeg vil bare gerne hold mig til det jeg har gjort nu med kode og ligne.

Håber du kan forstå mig og følge mig.

Bruger #16075 @ 17.11.12 12:47

1.223

Jeg vil desværre ikke skifte igen Hvis du kan følge mig?

det var ment som et forbedrings forslag, nu du bruger generateSalt() til både at lave salt og password, hvilke er fornuftigt, og meningen med functioner
du anvender functionen her "$salt = $this->generateSalt(16); og $pass = $mebe->generateSalt();", så det ville være 2 steder det skulle rettes

har du rettet $pass = $mebe->generateSalt() til $pass = $mebe->generateSalt(12) eller hvor langt dit password nu skal være ??
som jeg skrev tidligere, eller skal den give en advarsel/fejl med manglende parameter, hvis man har slået fejlmeldinger til, hvilke man altid bør gøre under udvikling

Bruger #2695 @ 17.11.12 23:12

1.963

Et salt er ikke et password.

Password er det, som brugeren vælger, saltet gør password unikt, selvom andre har valgt det samme, og gør det sværere at bruge en rainbow table.

Bruger #17136 @ 18.11.12 18:34

Det er er min kode til at salt password og opret bruger på siden og hvordan siden ser ud;

PHP kode

 function generateSalt($length) {
          $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
          $alphabet_length = strlen($alphabet);
          $salt = '';
          for ($i = 0; $i < $length; $i++) {
              $salt .= $alphabet[rand(0, $alphabet_length - 1)];
          }
          return $salt;
      }
      
      /*
      * Opret bruger på siden og kan har mulighed for alle ting!..
      */
 
     function bruger_opret_siden(){
             if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
             {
                 $stmt->bind_param('s', $brugernavn);
                 $brugernavn = $_POST["brugernavn"];
                 $stmt->execute();
                 $stmt->store_result();
                 $count = $stmt->num_rows;
                 $stmt->close();
                 if($count > 0)
                 {
                     $user_found = 1;
                 }
             }
             if(!isset($user_found))
             {
                 if($_POST["pass"] != $_POST["gentag"])
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive ens password på siden..</li>";
                 }
                 if(empty($_POST["pass"]) && empty($_POST["gentag"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et password på siden..</li>";
                 }
                 if(empty($_POST["navn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Fornavn</li>";
                 }
                 if(empty($_POST["efternavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Efternavn</li>";
                 }
                 if(empty($_POST["land_by"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en by</li>";
                 }
                 if(empty($_POST["hojde"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 if(empty($_POST["email"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Email</li>";
                 }
                 if(empty($_POST["brugernavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 
                 if(!isset($errors))
                 {
                     $pb = null;
                         
                     include 'function/class.upload.php';
                     $handle = new Upload($_FILES["file"]);
                     
                     if($handle->uploaded)
                     {
                         //lidt mere store billeder
                         $handle->image_resize = true;
                         $handle->image_ratio_y = true;
                         $handle->image_x = 220;
                         $handle->Process("profil-img/store");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 115;
                         $handle->image_x = 100;
                         $handle->Process("profil-img");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 75;
                         $handle->image_x = 75;
                         $handle->Process("profil-img/lille");
                         $pb = $handle->file_dst_name;            
 
                     }
              
                  $password = $_POST["pass"];
                  $algorithm = '$6$'; //<--- Dette betyder SHA 512
                  $salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
              
                  $hash = crypt($password, $algorithm . $salt);
 
                 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
                 (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `profilbillede_godkendt`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
                 VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
                 {
                     
                     $stmt->bind_param('issssisssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $pb_godkendt, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
                     $rank = '1';
                     $pb_godkendt = '1';
                     $email = $_POST["email"];
                     $brugernavn = $_POST["brugernavn"];//C
                     $password = $hash;//C
                     $profilbillede = $pb;//C
                     $navn = $_POST["navn"];
                     $efternavn = $_POST["efternavn"];
                     $alder_d = $_POST["alder_d"];
                     $alder_m = $_POST["alder_m"];
                     $alder_aar = $_POST["alder_aar"];
                     $kon = $_POST["kon"];
                     $seksualitet = $_POST["seksualitet"];
                     $partnerstatus = $_POST["partnerstatus"];
                     $land_by = $_POST["land_by"];
                     $hojde = $_POST["hojde"];
                     
                     $stmt->execute();
                     $stmt->close();
                     
                     echo "godkendt";
                         
                     }
                     else
                     {
                         /* Der er opstået en fejl */
                         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
                     }
                 }
             }
             else
             {
                 echo "<li id=\"check_not\">Dette brugernavn er optaget!!</li>";
             }
     }

Sådan her ser det ud på opret siden:

PHP kode

 if(isset($_POST["godkendt_bruger"]))
             {
                 $pass = $mebe->generateSalt();
                 $users = $mebe->bruger_opret_siden();
             }

Sådan her ser det ud når man har log ind siden/filen

PHP kode

 <?php
     /*
      * Giver admin adgang til se indhold på siden.
      */
     if(isset($_SESSION["rank"]) && $_SESSION["rank"] > 0) {
         $bruger = $mebe->brugerindhold_side();
     }
     
     
     /*
      * Hvis ingen af dem så få de bare adgang sådan her..
      */
     else{
     ?>
 <form name="login" method="post" action="#">
     <h1>Log ind</h1>
     <p>Brugernavn</p><input type="text" name="brugernavn"/>
     <p>Password</p><input type="password" name="pass"/>
     <br />
     <input type="submit" name="Log_ind" value="Log ind" id="login">
     <?php
     if(isset($_POST["Log_ind"]))
     {
     $pass = $mebe->generateSalt(12);
     $login = $mebe->godkendt_bruger_login();
     }
     ?>
     <ul>
         <li><a href="">Glemt Brugernavn</a></li>
         <li><a href="/opret-bruger/">Opret Bruger</a></li>
     </ul>
 </form>
 <?php
     }
 ?>

Det her siger den ved når jeg skal log ind på siden:

Notice: Undefined variable: hash in /home/jesperbo/public_html/mebe.dk/function/function.php on line 216

PHP kode

 function godkendt_bruger_login(){
          $password = $_POST["pass"];
          $algorithm = '$6$'; //<--- Dette betyder SHA 512
          $salt = $this->generateSalt(16); //<--- SHA 512 bruger et 16 tegn langt salt
         if($stmt = $this->mysqli->prepare('SELECT `id`, `brugernavn`, `rank`, `profilbillede`, `profilbillede_godkendt` FROM `bruger` WHERE `brugernavn` = ? AND `password` = ?'))
         {
         $stmt->bind_param('ss', $brugernavn, $password);
         $brugernavn = $_POST["brugernavn"];
         $password = $hash;
         $stmt->execute();
         $stmt->store_result();
         $stmt->bind_result($id, $brugernavn, $rank, $profilbillede, $profilbillede_godkendt);
         $stmt->fetch();
         $count = $stmt->num_rows;
         $stmt->close();
     
         if($count > 0)
         {
             $_SESSION["logged_in"] = true;
             $_SESSION["id"] = $id;
             $_SESSION["profilbillede"] = $profilbillede;
             $_SESSION["brugernavn"] = $brugernavn;
             $_SESSION["rank"] = $rank;
             $_SESSION["profilbillede_godkendt"] = $profilbillede_godkendt;
     
             if($_SESSION["logged_in"] == true)
             {
                 echo "godkendt";
             }
             else
             {
                 echo "<p>Desværre prøve igen brugernavn eller adgangskode passe ikke med vores</p>";
             }
         }
         else
         {
             echo "<p>Skrive brugernavn og Password</p>";
         }
     }
     }

Det vil sige her;

PHP kode

 $password = $hash;

Bruger #17136 @ 19.11.12 18:01

Når du validerer et login skal du ikke oprette et nyt salt. Der skal du hente det gemte hash ud for brugeren med det pågældende brugernavn. Noget ala:
PHP kode
 if($stmt = $this->mysqli->prepare('SELECT `id`, `brugernavn`, `rank`, `profilbillede`, `profilbillede_godkendt`, `password` FROM `bruger` WHERE `brugernavn` = ?))
Derefter tjekker du så det indtastede password imod det gemte hash:
PHP kode
 if (crypt($entered_password, $saved_hash) === $saved_hash) {
     //Correct password
 } else {
     //Incorrect password
 }

Jeg kan da vel bare gøre sådan her som jeg har gjort her;

PHP kode

 if($_SESSION["logged_in"] == true && crypt($entered_password, $saved_hash) === $_POST["pass"])
             {

EIDT

Sådan her havde jeg tænkt mig at gøre det:

PHP kode

 /*
      * Gøre password bedre og ligge noget salt på pass...
      */
      
      function generateSalt($length) {
          $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
          $alphabet_length = strlen($alphabet);
          $salt = '';
          for ($i = 0; $i < $length; $i++) {
              $salt .= $alphabet[rand(0, $alphabet_length - 1)];
          }
          return $salt;
      }
      
      /*
      * Opret bruger på siden og kan har mulighed for alle ting!..
      */
 
     function bruger_opret_siden(){
             if ($stmt = $this->mysqli->prepare('SELECT NULL FROM `bruger` WHERE `brugernavn` = ?'))
             {
                 $stmt->bind_param('s', $brugernavn);
                 $brugernavn = $_POST["brugernavn"];
                 $stmt->execute();
                 $stmt->store_result();
                 $count = $stmt->num_rows;
                 $stmt->close();
                 if($count > 0)
                 {
                     $user_found = 1;
                 }
             }
             if(!isset($user_found))
             {
                 if($_POST["pass"] != $_POST["gentag"])
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive ens password på siden..</li>";
                 }
                 if(empty($_POST["pass"]) && empty($_POST["gentag"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et password på siden..</li>";
                 }
                 if(empty($_POST["navn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Fornavn</li>";
                 }
                 if(empty($_POST["efternavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive et Efternavn</li>";
                 }
                 if(empty($_POST["land_by"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en by</li>";
                 }
                 if(empty($_POST["hojde"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 if(empty($_POST["email"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Email</li>";
                 }
                 if(empty($_POST["brugernavn"]))
                 {
                     $errors = 1;
                     echo "<li id=\"check_not\">Angive en Højde</li>";
                 }
                 
                 if(!isset($errors))
                 {
                     $pb = null;
                         
                     include 'function/class.upload.php';
                     $handle = new Upload($_FILES["file"]);
                     
                     if($handle->uploaded)
                     {
                         //lidt mere store billeder
                         $handle->image_resize = true;
                         $handle->image_ratio_y = true;
                         $handle->image_x = 220;
                         $handle->Process("profil-img/store");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 115;
                         $handle->image_x = 100;
                         $handle->Process("profil-img");
                         
                         //til profil billede lign..
                         $handle->image_resize = true;
                         $handle->image_ratio_crop = true;
                         $handle->image_y = 75;
                         $handle->image_x = 75;
                         $handle->Process("profil-img/lille");
                         $pb = $handle->file_dst_name;            
 
                     }
                           
                  
                 if ($stmt = $this->mysqli->prepare('INSERT INTO `bruger` 
                 (`rank`, `email`, `brugernavn`, `password`, `profilbillede`, `profilbillede_godkendt`, `navn`, `efternavn`, `alder_d`, `alder_m`, `alder_aar`, `status`, `kon`, `seksualitet`, `land_by`, `hojde`) 
                 VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)'))
                 {
                     
                     $stmt->bind_param('issssisssssiiisi', $rank, $email, $brugernavn, $password, $profilbillede, $pb_godkendt, $navn, $efternavn, $alder_d, $alder_m, $alder_aar, $kon, $seksualitet, $partnerstatus, $land_by, $hojde);
                     $rank = '1';
                     $pb_godkendt = '1';
                     $email = $_POST["email"];
                     $brugernavn = $_POST["brugernavn"];//C
                     $password = $hash;//C
                     $profilbillede = $pb;//C
                     $navn = $_POST["navn"];
                     $efternavn = $_POST["efternavn"];
                     $alder_d = $_POST["alder_d"];
                     $alder_m = $_POST["alder_m"];
                     $alder_aar = $_POST["alder_aar"];
                     $kon = $_POST["kon"];
                     $seksualitet = $_POST["seksualitet"];
                     $partnerstatus = $_POST["partnerstatus"];
                     $land_by = $_POST["land_by"];
                     $hojde = $_POST["hojde"];
                     
                     $stmt->execute();
                     $stmt->close();
                     
                     echo "godkendt bruger";
                         
                     }
                     else
                     {
                         /* Der er opstået en fejl */
                         echo 'Der opstod en fejl i erklæringen til ligge i databasen: ' . $mysqli->error;
                     }
                 }
             }
             else
             {
                 echo "<li id=\"check_not\">Dette brugernavn er optaget!!</li>";
             }
     }
     
     
     /*
      * Godkende bruger til at kun log ind og videre still bruger hvis brugernavn og password er rigtigt til denne bruger det vil sige "godkendt.php"
      */
      
     function godkendt_bruger_login(){
         $entered_password = $_POST["pass"];
         $alphabet = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
         if($stmt = $this->mysqli->prepare('SELECT `id`, `brugernavn`, `password`, `rank`, `profilbillede`, `profilbillede_godkendt` FROM `bruger` WHERE `brugernavn` = ? AND `password` = ?'))
         {
         $stmt->bind_param('ss', $brugernavn, $password);
         $brugernavn = $_POST["brugernavn"];
         $password = $_POST["pass"];
         $stmt->execute();
         $stmt->store_result();
         $stmt->bind_result($id, $brugernavn, $password, $rank, $profilbillede, $profilbillede_godkendt);
         $stmt->fetch();
         $count = $stmt->num_rows;
         $stmt->close();
     
         if($count > 0)
         {
             $_SESSION["logged_in"] = true;
             $_SESSION["id"] = $id;
             $_SESSION["profilbillede"] = $profilbillede;
             $_SESSION["brugernavn"] = $brugernavn;
             $_SESSION["rank"] = $rank;
             $_SESSION["profilbillede_godkendt"] = $profilbillede_godkendt;
             
     
             if($_SESSION["logged_in"] == true && crypt($entered_password, $alphabet) === $_POST["pass"])
             {
                 echo "godkendt";
             }
             else
             {
                 echo "<p>Desværre prøve igen brugernavn eller adgangskode passe ikke med vores</p>";
             }
         }
         else
         {
             echo "<p>Skrive brugernavn og Password</p>";
         }
     }
     }

Indlæg senest redigeret d. 19.11.2012 18:06 af Bruger #17136

<< < 1 2 3 > >>

Hash på password

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler