| | |
| Stránka: 1 z 1
| [ Príspevkov: 28 ] | |
Autor | Správa |
---|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal m4r14n: 17.07.2008 15:20 | |
|
Robim na svojej stranke prihlasenie, a potreboval by som zistit prikaz na sql, ktory by hladal meno, ale tak, ze by rozlisoval male a velke pismena
Kód: SELECT * FROM login WHERE meno='$neakemeno'
toto nerozlisuje male a velke pismena...
|
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 |
rozlisuje
|
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:22 | |
|
Tak potom nwm.... bo mne nerozlisuje.... este sa na to pozrem
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
zalezi od znakovej sady (ci ako sa to nazyva, teraz mi narychlo nenapadne ten vyraz), ktoru pouzivas v databaze - dufam, ze sa chapeme malo by tam byt nakonci "ci" - case-insensitive
Naposledy upravil stenley dňa 17.07.2008 15:26, celkovo upravené 1
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:25 | |
|
aha.... a da sa to neako zmenit?
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
najlepsie by bolo, keby si to zmenil pre celu databazu, ale da sa to tusim nastavit aj pre tabulku ci stlpec, ale to ti uz nerucim, ze to bude 100%-ne fungovat...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:41 | |
|
Len je divne, ze meno mi nezozlisuje, ale heslo ano
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
čo takto? Ak ti to teraz nepôjde, tak zjem kefu alebo zemiakovú placku
Kód: SELECT * FROM login WHERE BINARY meno='$neakemeno';
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
inak na základe tvojej poslednej vety usudzujem, že máš heslá uložené ako text, mám pravdu?
|
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:47 | |
|
Diki diki.... funguje
|
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:47 | |
|
heslo aj meno je ako vrachar
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
m4r14n píše: heslo aj meno je ako vrachar
Že je to varchar, to je v pohode, ale dúfam, že to máš uložené minimálne ako md5, pretože ukladať heslá len tak je blbosť jak hovado
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
uups, zle som precital, co si chcel, som ti radil opak ale hlavne, ze ti to uz ide...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 15:56 | |
|
md5? no mam to ako text ..... tak a mohol by si mi este povedat ako by sa to dalo spravit?
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
no najlepšie by bolo, keby si v phpčku urobil z pred zápisom hesla md5 pomocou Kód: $heslo_na_zapis = md5($_POST['heslo']);
Potom v databáze si nastavíš pole heslo ako char(32), pretože md5 je string dlhý 32 znakov.
Ale keby si chcel vedieť hneď aj spôsob, ako obísť md5, stačí povedať
|
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 16:03 | |
|
Tak diki moc a potom ked bude prihlasovanie, tak zase zadam
Kód: $heslo_na_porovnanie = md5($_POST['heslo']);
????
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
jj, alebo si vycucneš riadok z db a porovnáš to
Kód: if($row['heslo']==md5($_POST['heslo'])){$auth = true;}
|
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 17.07.2008 16:12 | |
|
hej hej, tak som to myslel... tak potom diki...(esteze si mi povedal ze sa to da kodovat, inak by som to ukladal nadalej ako text)
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
A teraz k tomu, ako okašlať md5. Existujú velké databázy slov zahashovaných cez md5 ako napr. http://md5decryption.com/ Stačí tam dať nejaký hash a ak to nie je heslo typu s5d-4f45e544s_/.?, tak to pravdepodobne nájde v databáze. Ak získaš čisté hashe z nejakej veľkej databázy užívateľov, zrejme veľké percento takto rozlúštiš
|
|
Registrovaný: 21.01.07 Prihlásený: 29.03.20 Príspevky: 660 Témy: 53 |
Práve som dočítal knihu o bezpečnosti. Lepšie by bolo vytvorenie funkcie pre vytvorenie ešte silnejšieho hashu.
napr.:
Kód: function vytvor_hash($uziv_meno, $heslo) {
$tajny_kod = 'FD464FS6D4FDSFD'; //nejaký tajný kód $kod = $tajny_kod.'_'.$uziv_meno.'_'.$heslo; $kod = md5($kod); // alebo ešte lepšie $kod = sha1($kod);
return $kod;
}
|
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
jj, volá sa to salted hash a ten "tajný kód" je salt
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
a spracit md5 hash z md5 hashu ??
omg chlapci, zato ako jasne,ze bezpecnost je bezpecnost... ale treba to zariadit hlavne tak, aby sa nijako nedalo dostat ani k tym hashom
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
tak si nastav ťažké heslo, heslo meň každý deň, nepracuj pod rootom, nastav minimálne práva, pohraj sa s configom, neukladaj heslá tam, kam nemáš, nepoužívaj error_reporting keď je niečo už verejne vyvesené... Zabudol som niečo?
Ale aj tak je vždy možnosť, že sa ti niekto nabúra do databázy, tak preto tie salt hashe. Inak to md5 z md5 napadlo už aj mňa, ja to používam v kombinácii ešte aj so saltom. Môžeš do toho ešte zakomponovať nejako sha1, crc32...
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
No, mozes spravit aj toto:
Kód: for($i = 0; $i < 1000, $i++) { $heslo = md5($heslo); $heslo = $heslo."fskjlgafgmdgf"; $heslo = md5($heslo); }
ale potom neosetris jednu GET premennu a vypises ju cez echo a uz ti nepomoze ani milion ochran
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 09.07.08 Prihlásený: 17.01.15 Príspevky: 1585 Témy: 96 |
inak aj post sa dá ľahko odsniffovať, pokiaľ nemáš https. Ja https nemám, takže cez javascript zahashujem aj so saltom heslo a pošlem až potom
_________________ neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! |
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 18.07.2008 15:45 | |
|
Este by som mal 1 otazku.... Ako by sa cez php dal napisat script, ktory by z mysql vybral vsetky mena, ale tak, aby s nimi mohol pracovat javascript?
|
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 18.07.2008 16:25 | |
|
a ako chceš aby s nimi pracoval javascript? - otázka, keby náhodou zle chápem, že čo chceš
ved normálne, ako inokedy len tam ešte hodíš ešte JS..
Kód: echo '<table><tr><td>Meno</td></tr>'; $vyber = mysql_query("select meno from zoznam"); while($row=mysql_fetch_array($vyber)){ echo '<tr onmouseover="zobraz(\''.$row["meno"].'\')"><td>'.$row["meno"].'</td></tr>'; } echo '</table><div id="nazobrazenie"></div> a ešte javascript funkcia Kód: <script> function zobraz(meno){ document.getElementById('nazobrazenie').innerText= meno; } </script>
_________________ Sorry za prelkepy |
|
Registrovaný: 10.07.08 Príspevky: 190 Témy: 40 Bydlisko: BA | Napísal autor témy m4r14n: 18.07.2008 16:50 | |
|
hej hej.... mieco take som myslel... ma vobec nenapadlo ze sa to da aj takto
|
|
| Stránka: 1 z 1
| [ Príspevkov: 28 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|