Passwordfield get values
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
artikel
benutzer
benutzerdaten
code
email
fehler
feld
gewinn
http
inhalt
klartext
programmierung
registrierung
sicher speichern
sicherheit
url
variable code
verbindung
vergessen
wissen
-
Hallo,
bei einer Online Registrierung habe ich ein Password Feld erstellt, in dem der User sein Passwort eingibt. Danach schicke ich ihm eine Email mit deinen Benutzerdaten. Jedoch wird der Inhalt in dem Passwordfield chiffriert und in der email steht dann als passwort nur irgendwie sowas: '0cc175b9c0f1b6a831c399e269772661'.
Wie kann ich an den tatsächlichen Inhalt des Feldes herankommen? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
das PAsswort wird wahrscheinlich via MD5 verschlüsselt..
Speicher das Passwort einfach bevor es via
verschlüsselt wird in eine 2. Variable.md5($password)
$passwort_für_mail = $passwort
Gruss Paddy -
kingofexceptions schrieb:
Kannst du auch den Code herzeigen, damit wir wissen was du mit "chiffriert" meinst?
Jedoch wird der Inhalt in dem Passwordfield chiffriert und in der email steht dann als passwort nur irgendwie sowas: '0cc175b9c0f1b6a831c399e269772661'.
Vergiss nicht: Passwörter im Klartext zu übertragen ist ein Sicherheistrisiko, und das gilt auch für EMails. Vergiss auch nicht, dass md5 schon lange veraltet ist. -
Das Passwort musst du vorher extra Speichern, ohne den Hash, oder es garnicht erst mitschicken. Das garnicht erst mitschicken wäre natürlich sicherer. Ich persönlich finde Passwörter in Mails auch nicht gerade als schöne Lösung.
Um das von hackyourlife angesporchene Problem mit dem veralteten md5 zu lösen habe ich vor längerer Zeit nen Blogartikel verfasst: http://sateffen.bplaced.net/programmierung/passworter-sicher-speichern.html
Ich denke mal damit kann man durchaus ein wenig an "Sicherheit" gewinnen, da md5, wie in dem Artikel erklärt, mitlerweile durch RainbowTables relativ einfach "knackbar" ist.
Liebe Grüße -
ok Super vielen Dank!!
Beitrag zuletzt geändert: 6.8.2012 0:47:19 von kingofexceptions -
kingofexceptions schrieb:
$password_unchiffriert = $password; $hash = hash( “haval128″ , hash( “whirlpool” , $password , false ) , false ); $password = mysql_real_escape_string( hash , $verbindung ); $name = mysql_real_escape_string($name , $verbindung); $email = mysql_real_escape_string($email , $verbindung); $query = "INSERT INTO benutzer (Name, Password, EMail) VALUES ('$name', '$password', '$email')";
Ein Fehler ist noch da: Du hast vor dem hash beim $password= das $ vergessen. Theoretisch brauchst du das aber garnicht escapen, da ein Hash bereits sicher ist :)
Liebe Grüße -
Außerdem: Sicher ist sicher xD
Beitrag zuletzt geändert: 6.8.2012 0:47:56 von kingofexceptions -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage