Opslaan wachtwoord met md5
MD5 encryption door MySQL:
Code (php)
1
2
3
4
2
3
4
<?php
$sql = "update users set password=md5('".$password."');";
$mysqli->query($sql);
?>
$sql = "update users set password=md5('".$password."');";
$mysqli->query($sql);
?>
of
MD5 encryption door PHP:
Code (php)
1
2
3
4
2
3
4
<?php
$sql = "update users set password='".md5($password)."';";
$mysqli->query($sql);
?>
$sql = "update users set password='".md5($password)."';";
$mysqli->query($sql);
?>
Volgens mij is de tweede mannier veiliger... Of maakt dat weinig uit?
Gewijzigd op 01/01/1970 01:00:00 door Chris Avontuur
De tweede manier is inderdaad veiliger. Sommige servers houden namelijk een log bij met alle queries, waar dan dus het wachtwoord in te zien is.
edit:
@herjan
en wat is er dan niet veilig? das gewn je db goed inrichten.
Gewijzigd op 01/01/1970 01:00:00 door Kalle P
http://nl.php.net/manual/en/mysqli.prepare.php (En als je mysqli gebruikt, doe je dat ook) In dat geval maakt het dus helemaal niets uit.
Tip: Schrijf Query met hoofdletters dus zo: UPDATE users SET password = MD5(...) WHERE id = ? (Is overzichtelijker)
Edit: te laat
Het maakt echt helemaal niets uit. Alleen met optie A moet je input blijven checken. Maar omdat je mysqli gebruikt kan je dat ook laten doen met Tip: Schrijf Query met hoofdletters dus zo: UPDATE users SET password = MD5(...) WHERE id = ? (Is overzichtelijker)
Edit: te laat
Gewijzigd op 01/01/1970 01:00:00 door Han eev
Herjan schreef op 25.08.2008 19:24:
De tweede manier is inderdaad veiliger. Sommige servers houden namelijk een log bij met alle queries, waar dan dus het wachtwoord in te zien is.
Opzich valt dat wel mee: http://www.phphulp.nl/php/scripts/11/1382/
Bedankt voor jullie reacties ik ga voor de zekerheid dus voor methode 2.
Nu ja, ik zou het ook via
doen.
Emmanuel Delay schreef op 26.08.2008 18:30:
Je kan trouwens ook het paswoord al in javascript coderen. Dan wordt het ongecodeerde paswoord niet via het web gestuurd.
Nu ja, ik zou het ook via
doen.
Nu ja, ik zou het ook via
doen.
Dan is te decoderen, als The Man In The Middle jouw JavaScript en even later het gecodeerde wachtwoord opvangt, kan hij dat weer decoderen.
Ik niet.
Nu, verder zeg ik niet dat het een goed idee is hoor, ik zie direct een aantal problemen. Vandaar ook het tweede deel van mijn reactie.
Gewijzigd op 01/01/1970 01:00:00 door Emmanuel Delay
of als je het slim doet
md5(sha1 als ze de md5 kraken moeten ze de sha1 nog kraken.
maar de hash function van php.net is beter
http://nl.php.net/hash
Gewijzigd op 01/01/1970 01:00:00 door dennis
md5(sha1()) is niet slim, gebruik dan sha1(md5()). Anders maak je een korte encryptie van een langere (is meestal betere) encryptie...