Forum » Izdelava spletišč » PHP, passwordi in MySQL!!!
PHP, passwordi in MySQL!!!
kuntek ::
V MySQL bazi imam zapisane passworde uporabnikov, ki so kodirani z MySQL PASSWORD funkcijo. Moj problem je sledeč: če uporabnik pozabi geslo in bi ga rad dobil po emailu je to nemogoče, ker je PASSWORD enosmerna funkcija. Je to res ali je kakšna rešitev (razen, da resetiraš password in mu pošlješ novega)???Obstaja še kakšen drugi, varen način za shranjevanje passwordov v MySQL? Kako imate to rešeno na Slo-Techu?
- spremenil: kuntek ()
Tr0n ::
Hja, ce bi lahko vsak dekodiral nek hash, v primeru da pride do cookija ali vdre v bazo, potem ne bi bilo dovolj varno.
V PHP imas mcrypt in mhash funkcije za enkripcijo in dekripcijo.
Jaz osebno uporabljam kr MD5 + privatni kljuc, ki ga ve samo narocnik, ki se potem pristeje k MD5 geslu (v primeru, da pride do originalnega hasha, mu ta nic ne koristi). Ce pozabi geslo, se mu senda mail z nekim novim, random geslom, ki ga lahko kasneje spremeni. Ceprav posiljanje kakrsnihkoli gesel preko mail-a ni niti najmanj varno, ampak recimo.
Seveda tudi mene zanima, kako imate drugi te reci narejene? Cim bolj varno, tem boljse.
Slo-Tech ima podobno. Dobis mail, kjer je link do aktivacije novega gesla. Ko gres na URL se ti pac geslo spremeni.
Dobra stran tega je verjetno v tem, da se ob kliku na ta URL preverja cookie, tako da lahko novo geslo aktiviras samo na istem racunalniku. In pa da aktivacija traja samo 2 uri. Kako imas to narejeno Primoz? Je to server nastavitev (crontab?) ali preko PHPja kako narejeno?
V PHP imas mcrypt in mhash funkcije za enkripcijo in dekripcijo.
Jaz osebno uporabljam kr MD5 + privatni kljuc, ki ga ve samo narocnik, ki se potem pristeje k MD5 geslu (v primeru, da pride do originalnega hasha, mu ta nic ne koristi). Ce pozabi geslo, se mu senda mail z nekim novim, random geslom, ki ga lahko kasneje spremeni. Ceprav posiljanje kakrsnihkoli gesel preko mail-a ni niti najmanj varno, ampak recimo.
Seveda tudi mene zanima, kako imate drugi te reci narejene? Cim bolj varno, tem boljse.
Slo-Tech ima podobno. Dobis mail, kjer je link do aktivacije novega gesla. Ko gres na URL se ti pac geslo spremeni.
Dobra stran tega je verjetno v tem, da se ob kliku na ta URL preverja cookie, tako da lahko novo geslo aktiviras samo na istem racunalniku. In pa da aktivacija traja samo 2 uri. Kako imas to narejeno Primoz? Je to server nastavitev (crontab?) ali preko PHPja kako narejeno?
Zgodovina sprememb…
- spremenilo: Tr0n ()
kuntek ::
Se opravičujem vsem prizadetim, da sem odprl novo temo. Sem našel vse kar sem hotel vedet. Hvala b!
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| ! | Postavitev Apache serverja s podporo za PHP in MySQL (strani: 1 2 3 4 5 6 7 )Oddelek: Izdelava spletišč | 245632 (20297) | miko22 |
| » | problem pri sprembi root gesla v MySQL v UbuntuOddelek: Pomoč in nasveti | 1210 (790) | killa bee |
| » | Root gesloOddelek: Izdelava spletišč | 1564 (735) | slitkx |
| » | Težave z MySQL povezavoOddelek: Izdelava spletišč | 2521 (2126) | la_mer |
| » | Skrivanje geselOddelek: Izdelava spletišč | 2985 (2225) | Tr0n |