Хранение паролей в БД + шифрование

[alt5000]

Добрый вечер!

Дошел до необходимости хранения паролей пользователей. Понимаю, что шифровать их надо (можно через dsCrypt, можно через функцию и т.д.), но как хранить их в таблице? То есть просто пишем в соответствующее поле таблицы пользователей, а потом по вводимому имени извлекаем для сравнения? Или принято использовать какой-то более сложный механизм хранения? Просветите. И к тому же все скрипты хранятся в какой-то защищеной папке? Типа CGI?

[dr.Chas]

Вкратце можно так: например в таблице храниться хэш пароля и логин (уникальное поле). Потом при авторизации пользователя, из пришедшего пароля получается хэш, делается выборка по пришедшему логину из таблицы и сравниваются хэши.

[alt5000]

Цитата:

Сообщение от dr.Chas

Вкратце можно так: например в таблице храниться хэш пароля и логин (уникальное поле). Потом при авторизации пользователя, из пришедшего пароля получается хэш, делается выборка по пришедшему логину из таблицы и сравниваются хэши.

Понятно, спасибо. Вы мне не поможете еще с одним моментом? Я заметил, что в сценарии устанавливаются переменные - хост, имя и пароль для подключения к базе. Они действительно хранятся прямо в открытом виде в коде? Ведь это прямая угроза. Каким образом правильно хранить параметры подключения к БД?

[Andkorol]

Цитата:

Сообщение от alt5000

Я заметил, что в сценарии устанавливаются переменные - хост, имя и пароль для подключения к базе. Они действительно хранятся прямо в открытом виде в коде? Ведь это прямая угроза.

Это не опасно, если данные находятся в php-файлах, а не в каких-нибудь .conf, .ini, .txt и т.п.

[alt5000]

Цитата:

Сообщение от Andkorol

Это не опасно, если данные находятся в php-файлах, а не в каких-нибудь .conf, .ini, .txt и т.п.

Ясно. Я просто думал, что их скачать с сервера могут. А раз нет - так и сделаем Чтож, спасибо за ответы - Вы мне очень помогли.

[Linel]

Цитата:

Я просто думал, что их скачать с сервера могут.

Не могут. С PHP файлами работает веб-сервер. Он их обрабатывает и возвращает браузеру результат в виде HTML страницы.

А про "шифрования", как сказали ранее, используйте хеширование пароля (например, алгоритм хеширования md5) и храните в базе хэш пароля. Таким образом, если злоумышленник получит доступ к базе (например, через SQL инъекцию) и получит хэши паролей, то с ними он, грубо говоря, ничего не сможет сделать, потому что функция md5() в php устроена так, что одному сгенерированному значению может соответствовать множество начальных значений.

Код:

$pwd = "MyPassword";
$pwd = md5($pwd);

Теперь в pwd будет храниться какое-то значение, типа: 48503dfd58720bd5ff35c102065a52d7. Сохраняешь его в базу. При попытке залогинниться, достаешь это значение из базы, записываешь в какую-то переменную ($pwdHash) и сравниваешь с хэшем пароля, который пытается ввести пользователь при авторизации ($password)

Код:

if (md5($password) = $pwdHash)
{
   // Если пользователь ввел правильный пароль
}
else
{
   // Если ввел неверный пароль
}

[alt5000]

Спасибо. Да, я уже "нарыл" про необратимое шифрование (md5). Теперь понимаю почему на сайтах создают новый пароль, а не возвращают старый

[gephaest]

Не рекомендуется использовать "голый" md5, на данный момент существует куча баз для расшифровки+проблема коллизий.
Я предпочитаю

Код:

md5(md5($pass) . $salt ))

http://ru.wikipedia.org/wiki/%D0%A1%...D0%B8%D1%8F%29

[alt5000]

Да, только опять же проблема в хранении соли. Если она будет уникальной длч каждого user_id, ее надо будет хранить с этим юзером, и, если она будет в незашифрованном виде в одной строке с user_id, то только очень глупый человек не догадается что к чему.

[Andkorol]

Цитата:

Сообщение от alt5000

Да, только опять же проблема в хранении соли. Если она будет уникальной длч каждого user_id, ее надо будет хранить с этим юзером, и, если она будет в незашифрованном виде в одной строке с user_id, то только очень глупый человек не догадается что к чему.

Вы просто не понимаете конечной цели использования salt.
Советую внимательно прочитать статью по ссылке выше:

Цитата:

Основное назначение соли — защита от нахождения пароля методом перебора используя заранее подготовленные таблицы (радужные таблицы). Так как соль по сути является "удлинителем" пароля, построение радужных таблиц для подбора такой строки требует слишком много ресурсов.

И тут уже не важно, зашифрована salt или нет.