Stránka: 1 z 1
| [ Príspevkov: 28 ] | |
| Autor | Správa |
|---|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Robim na svojej stranke prihlasenie, a potreboval by som zistit prikaz na sql, ktory by hladal meno, ale tak, ze by rozlisoval male a velke pismena
Kód: SELECT * FROM login WHERE meno='$neakemeno'
toto nerozlisuje male a velke pismena... 
|
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 | 96 |
rozlisuje 
|
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Tak potom nwm.... bo mne nerozlisuje.... este sa na to pozrem 
|
|
Registrovaný: 27.07.07
Príspevky: 3948
Témy: 51 | 51
Bydlisko: Bratislava |
zalezi od znakovej sady (ci ako sa to nazyva, teraz mi narychlo nenapadne ten vyraz), ktoru pouzivas v databaze - dufam, ze sa chapeme malo by tam byt nakonci "ci" - case-insensitive
Naposledy upravil stenley dňa 17.07.2008 15:26, celkovo upravené 1
_________________
NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
aha.... a da sa to neako zmenit?
|
|
Registrovaný: 27.07.07
Príspevky: 3948
Témy: 51 | 51
Bydlisko: Bratislava |
najlepsie by bolo, keby si to zmenil pre celu databazu, ale da sa to tusim nastavit aj pre tabulku ci stlpec, ale to ti uz nerucim, ze to bude 100%-ne fungovat...
_________________
NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Len je divne, ze meno mi nezozlisuje, ale heslo ano 
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
čo takto? Ak ti to teraz nepôjde, tak zjem kefu alebo zemiakovú placku
Kód: SELECT * FROM login WHERE BINARY meno='$neakemeno';
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
inak na základe tvojej poslednej vety usudzujem, že máš heslá uložené ako text, mám pravdu?
|
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Diki diki.... funguje
|
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
heslo aj meno je ako vrachar
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
m4r14n píše: heslo aj meno je ako vrachar
Že je to varchar, to je v pohode, ale dúfam, že to máš uložené minimálne ako md5, pretože ukladať heslá len tak je blbosť jak hovado
|
|
Registrovaný: 27.07.07
Príspevky: 3948
Témy: 51 | 51
Bydlisko: Bratislava |
uups, zle som precital, co si chcel, som ti radil opak  ale hlavne, ze ti to uz ide...
_________________
NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
md5? no mam to ako text ..... tak a mohol by si mi este povedat ako by sa to dalo spravit?
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
no najlepšie by bolo, keby si v phpčku urobil z pred zápisom hesla md5 pomocou Kód: $heslo_na_zapis = md5($_POST['heslo']);
Potom v databáze si nastavíš pole heslo ako char(32), pretože md5 je string dlhý 32 znakov.
Ale keby si chcel vedieť hneď aj spôsob, ako obísť md5, stačí povedať
|
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Tak diki moc a potom ked bude prihlasovanie, tak zase zadam
Kód: $heslo_na_porovnanie = md5($_POST['heslo']);
????
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
jj, alebo si vycucneš riadok z db a porovnáš to
Kód: if($row['heslo']==md5($_POST['heslo'])){$auth = true;}
|
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
hej hej, tak som to myslel... tak potom diki...(esteze si mi povedal ze sa to da kodovat, inak by som to ukladal nadalej ako text) 
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
A teraz k tomu, ako okašlať md5. Existujú velké databázy slov zahashovaných cez md5 ako napr. http://md5decryption.com/ Stačí tam dať nejaký hash a ak to nie je heslo typu s5d-4f45e544s_/.?, tak to pravdepodobne nájde v databáze. Ak získaš čisté hashe z nejakej veľkej databázy užívateľov, zrejme veľké percento takto rozlúštiš
|
|
Registrovaný: 21.01.07
Prihlásený: 29.03.20
Príspevky: 660
Témy: 53 | 53 |
Práve som dočítal knihu o bezpečnosti. Lepšie by bolo vytvorenie funkcie pre vytvorenie ešte silnejšieho hashu.
napr.:
Kód: function vytvor_hash($uziv_meno, $heslo) {
$tajny_kod = 'FD464FS6D4FDSFD'; //nejaký tajný kód
$kod = $tajny_kod.'_'.$uziv_meno.'_'.$heslo;
$kod = md5($kod); // alebo ešte lepšie $kod = sha1($kod);
return $kod;
}
|
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
jj, volá sa to salted hash a ten "tajný kód" je salt
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
a spracit md5 hash z md5 hashu ??
omg chlapci, zato ako jasne,ze bezpecnost je bezpecnost... ale treba to zariadit hlavne tak, aby sa nijako nedalo dostat ani k tym hashom 
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
tak si nastav ťažké heslo, heslo meň každý deň, nepracuj pod rootom, nastav minimálne práva, pohraj sa s configom, neukladaj heslá tam, kam nemáš, nepoužívaj error_reporting keď je niečo už verejne vyvesené... Zabudol som niečo?
Ale aj tak je vždy možnosť, že sa ti niekto nabúra do databázy, tak preto tie salt hashe. Inak to md5 z md5 napadlo už aj mňa, ja to používam v kombinácii ešte aj so saltom. Môžeš do toho ešte zakomponovať nejako sha1, crc32...
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233 | 233
Bydlisko: Nové Zámky |
No, mozes spravit aj toto:
Kód: for($i = 0; $i < 1000, $i++) {
$heslo = md5($heslo);
$heslo = $heslo."fskjlgafgmdgf";
$heslo = md5($heslo);
}
ale potom neosetris jednu GET premennu a vypises ju cez echo a uz ti nepomoze ani milion ochran
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96 | 96 |
inak aj post sa dá ľahko odsniffovať, pokiaľ nemáš https. Ja https nemám, takže cez javascript zahashujem aj so saltom heslo a pošlem až potom
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
Este by som mal 1 otazku.... Ako by sa cez php dal napisat script, ktory by z mysql vybral vsetky mena, ale tak, aby s nimi mohol pracovat javascript?
|
|
Registrovaný: 26.12.06
Prihlásený: 16.11.19
Príspevky: 3971
Témy: 181 | 181
Bydlisko: Nitra / Bra... |
a ako chceš aby s nimi pracoval javascript? - otázka, keby náhodou zle chápem, že čo chceš
ved normálne, ako inokedy len tam ešte hodíš ešte JS..
Kód: echo '<table><tr><td>Meno</td></tr>'; $vyber = mysql_query("select meno from zoznam"); while($row=mysql_fetch_array($vyber)){ echo '<tr onmouseover="zobraz(\''.$row["meno"].'\')"><td>'.$row["meno"].'</td></tr>'; } echo '</table><div id="nazobrazenie"></div> a ešte javascript funkcia Kód: <script>
function zobraz(meno){
document.getElementById('nazobrazenie').innerText= meno;
}
</script>
_________________
Sorry za prelkepy |
|
Registrovaný: 10.07.08
Príspevky: 190
Témy: 40 | 40
Bydlisko: BA |
hej hej.... mieco take som myslel... ma vobec nenapadlo ze sa to da aj takto
|
|
Stránka: 1 z 1
| [ Príspevkov: 28 ] | |
|
