MySQL-Passwort auslesen

  • :oalso ich soll das ganze nochmal mit nem myhash passwort versuchen? Und wie mache ich so ein Passwrt? Sry aber ich glaube es gibt so generator dafür oder?

  • PHP
    <?php
    // Funktion myhash() einbinden
    echo myhash("meinPasswort");
    ?>


    Damit kannst du dir erstmal dein Passwort so ausgeben lassen wie du es dann über phpmyadmin eintragen kannst, als myhash()-hash.

    "Programming today is a race between software engineers
    striving to build bigger and better idiot-proof programs,
    and the universe trying to build bigger and better idiots.
    So far, the universe is winning."
    Rick Cook

  • Und dann schleunigst die Datei löschen. :D
    Wenn du Accounts erstellen können willst, musst du schon beim Einfügen das Feld auf den Hashwert setzen, also sowas wie "INSERT INTO `users` (`name`, `pass`) VALUES ( '" . mysql_real_escape_string($neuername) . "', '". mysql_real_escape_string(myhash($neuespasswort)) . "')"

  • Und dann schleunigst die Datei löschen. :D


    Ich geh natürlich davon aus, dass er diese Datei nur auf seinem (geschützten) localhost hat :D

    Wenn du Accounts erstellen können willst, musst du schon beim Einfügen das Feld auf den Hashwert setzen, also sowas wie "INSERT INTO `users` (`name`, `pass`) VALUES ( '" . mysql_real_escape_string($neuername) . "', '". mysql_real_escape_string(myhash($neuespasswort)) . "')"


    Das mysql_real_escape_string() beim Passwort stört zwar nicht, ist aber überflüssig, da myhash() keine potentiell gefährliche Strings zurückliefert.

    "Programming today is a race between software engineers
    striving to build bigger and better idiot-proof programs,
    and the universe trying to build bigger and better idiots.
    So far, the universe is winning."
    Rick Cook

  • ja cool ich habe es ausprobiert und leider steht dann da ein Fehler Script: undifinded function myhash()
    Soll ich davor irgendwo die Funktion einfügen?

    Einmal editiert, zuletzt von Now (20. Mai 2011 um 15:29)

  • ja cool ich habe es ausprobiert und leider steht dann da ein Fehler Script: undifinded function myhash()
    Soll ich davor irgendwo die Funktion einfügen?

    Ich meinte definieren ;)

  • Ja, das wäre hilfreich ;)
    Es sei denn du möchtest gerne, dass der Fehler weiterauftritt.

    "Programming today is a race between software engineers
    striving to build bigger and better idiot-proof programs,
    and the universe trying to build bigger and better idiots.
    So far, the universe is winning."
    Rick Cook

  • das ist mir auch klar ;) Nur was soll ich dann da rein schreiben?
    function myhash() {

    ....

    }

  • Nur was soll ich dann da rein schreiben?


    Lerne bitte mal die Grundlagen und lese die Antworten!

  • achso stimmt ja danke sry ich stand iwie aufm schlauch jez hab ichs bb

  • The User:

    Ja, schon okay.

    Ich habe nur gedacht, es interresiert dich, dass ich einen Cookie_hash (Zufallszahl von 6 Zeichen) generiere, wenn sich der User registriert und gebe diese dann im Hash weiter.

    Sorry, hab deine Frage nicht richtig verstanden :)

    MfG

    [C]arp[h]unter

    Wer ist dieser LAN und warum macht er so viele Parties?
    Internet, gibt's den Scheiß immer noch?
    Warum passieren mir nur Sachen, die sonst nur dummen Leuten passieren? :: NEIN!

  • Das hat mir ein bekannter geraten.

    Immer wenn sich der User anmelden will, wird der Wert aus der Datenbank geholt und in den Cookie gespeichert.

    Wenn sich der User das nächste Mal wieder anmeldet, "erinnert" sich die Datenbank an den User.

    Ich hab mir gedacht, dass einem User auch nur eine verschlüsselte Zufallszahl zugewiesen werden kann.

    Oder ist das schlecht?

    MfG

    [C]arp[h]unter

    Wer ist dieser LAN und warum macht er so viele Parties?
    Internet, gibt's den Scheiß immer noch?
    Warum passieren mir nur Sachen, die sonst nur dummen Leuten passieren? :: NEIN!

  • Nee.

    Ich generiere neben dem Passwort nochmal eine Zufallszahl, die ich dann verschlüssle und im Feld Cookie_Hah speichere

    MfG

    [C]arp[h]unter

    Wer ist dieser LAN und warum macht er so viele Parties?
    Internet, gibt's den Scheiß immer noch?
    Warum passieren mir nur Sachen, die sonst nur dummen Leuten passieren? :: NEIN!

  • Ja, okay.

    Das meine ich ja.

    Mein Cookie soll (ka. ca.:) 5 Wochen oder so halten.

    Wenn sich der User in dieser Zeit nicht eingeloggt hat, muss er den Passwortvergessen- Button drücken.

    Wenn sich der User jedoch anmeldet, wird der Keks um weitere 5 Wochen ab dem Datum, wo sich der User angemeldet hat, verlängert.

    Ich habe gedacht, dass das noch ein wenig sicherer ist.

    MfG

    [C]arp[h]unter

    Wer ist dieser LAN und warum macht er so viele Parties?
    Internet, gibt's den Scheiß immer noch?
    Warum passieren mir nur Sachen, die sonst nur dummen Leuten passieren? :: NEIN!

  • Äh, naja, das klingt etwas komisch, dass man das Passwort nicht behalten kann… Solang es über HTTPS geht und nur Hashes in der DB liegen, ist es nicht sicherer oder unsicherer…
    Das ist eben anfälliger als ein normaler Session-Keks, weil du nicht die IP überprüfen kannst, und fast so lange hält wie ein normales Passwort, deshalb sollte in dem Fall die Verbindung immer verschlüsselt sein. Wenn du kein HTTPS hast, ist das nicht so toll, aber dann wäre es auch besser, wenn eben nur einmal pro Session das Passwort übertragen wird, als immer wieder dieser Keks.

  • Okay, ich werd's mal probieren :)

    MfG

    [C]arp[h]unter

    Wer ist dieser LAN und warum macht er so viele Parties?
    Internet, gibt's den Scheiß immer noch?
    Warum passieren mir nur Sachen, die sonst nur dummen Leuten passieren? :: NEIN!