enkele vragen

Door sander salemander op 26-07-2010 09:52

1.411 views

ik ben nu bezig met een login script maar is dit veilig
( mijn salt wordt later nog anders )

<?php

$wachtwoord = 'sander';
$salt = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";
$superwachtwoord = md5 ($wachtwoord . $salt);

echo $superwachtwoord;
?>

als het goed is kan je toch nooit achter me wachtwoord komen omdat je mijn salt niet weet toch?

en kan iemand mij uitleggen hoe je met hash je login veiliger maakt, een vriend zei dat die uniek moet zijn en dan controleren ofzo iets?

verder wil ik van object naar assoc maar doe veranderd ik zo iets als dit mijn code is:

if($data->rankvordering >= 100 && $data->rank <20) {

hopelijk kunt iemand mijn antwoord geven op deze vragen.

Sander - Salemander xD

Johan Dam

26-07-2010 10:20

De reden waarom je een wachtwoord gaat hashen is voor het geval iemand in je database inbreekt, die ziet dan de hash wachtwoorden.

Nu kan je een hash kraken dmv bruteforce en omdat moeilijker te maken gebruik je salt,

In jouw geval is de salt altijd hetzelfde dat maakt het weer makkelijker, (als je gehackt bent mag je ervan uit gaan dat de hacker al je scripts ziet.

Wat ik je voorstel is om een 2 hashes te gebruiken, 1x een hash van je (unieke) salt (miss microtime() oid) en daarna de hash van je wachtwoord + salt.

Ikzelf gebruik 2 verschillende hashes hiervoor, en geen van beide is md5 of sha1. (Tip: zoek naar de hash functie in PHP)

Als je van mysql_fetch_object overgaat naar mysql_fetch_assoc dan moet je je code veranderen, tenzij je iets doet als $data = (object)mysql_fetch_assoc($result);

Dit schijnt sneller te zijn mysql_fetch_object maar doet exact hetzelfde.

Reageren

Inloggen om te reageren