wie sicher ist das?

[totomoto]

hi leute,

ich habe mehrere datemsätze di ich mittels passwort und username für admin zwecke schützen möchte.

das mache ich indem ich einfach die felder username und passwort in der mysql db abfrage.

if ($username==$user && $passwort==$pwd && $id==$idnew)

elseif ($username != $user || $passwort != $pwd || $id==$idnew)

jetzt ist aber meine frage ob das auch sicher ist???

an diese daten kommt man ja sonst nicht ran, wenn man nicht der besitzer des jeweiligen datensatzes ist oder???

kann ich in der mysql einstellungen noch den type speziell anpassen?

danke

toto

 

[MichiS]

Hi,

also allgemein empfiehlt es sich das Passwort vor dem einfügen in die Datenbank mit crypt(); zu verschlüsseln.
Wenn du dann vergleichst kannst du das ja auch in verschlüsseltem Zustand

CU
MichiS

 

[totomoto]

wie meinst du das?

wie geht das verschlüsseln?

crypt($Zeichenkette [,$Schluessel])

 

[MichiS]

RTFM

http://de.php.net/manual/de/function.crypt.php

Der Schlüssel hängt vom verwendeten Betriebssystem ab.

Linux=> CRYPT_STD_DES
Windows => CRYPT_MD5

Du schreibst das passwort erstmal mit
insert into blabla (name,pass) VALUES ('$name','".crypt($pass,"CRYPT_STD_DES")."') verschlüsselt in die Datenbank.

beim vergleichen vergleichst du dann einfach das ausgelesene Passwort mit dem verschlüsselten eingegebenen.

if($db_pass==crypt($eingabe_pass,"CRYPT_STD_DES")) print("OK");

CU
MichiS

 

[totomoto]

hi,

danke vielmal

ich schau mir das mal an.


gruss
toto m.

 

[totomoto]

hallo michis

hab mir das jetzt mal angeschaut, verstehs zwar nicht so recht....

meinst du das, wenn ich ein formular hätte? was mach ich wenn ich die manuell direkt in die db eingebe??
ohne formular??

insert into blabla (name,pass) VALUES ('$name','".crypt($pass,"CRYPT_STD_DES")."') verschlüsselt in die Datenbank.

gruss und dank

toto