kostenloser Webspace werbefrei: lima-city


Verbindungsablauf von MySQL

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    meik6

    meik6 hat kostenlosen Webspace.

    Hallo zusammen

    Ich veruche gerade mich etwas in MySQL zu vertiefen um die Vorgänge besser kennen zu lernen.
    Aus diesem Grund liess ich einmal Wireshark während des anmeldens mitlaufen. Dort kann ich nun sehen das User, der Name der DB sowie ein Passwort übertragen werden.

    Beim Passwort handelt es sich aber nicht um das welches ich eingegeben habe. Kannn mir einer sagen wie das Passwort an den Server übertragen wird und ob das sicher ist?

    Danke schon jetzt für die Antworten.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hi,

    also als erstes, Du solltest Dir direkt Mysqli anschauen. Mysql ist veraltet und wird in kommenden PHP Versionen nichtmehr unterstützt. Alternativ könntest Du auch PDO verwenden.
    Dein Passwort wird wohl verschlüsselt an die DB gesendet, was soweit auch ok und gut ist. Vermutlich wird es als MD5 Hash gesendet. Passwörter sollten nie als Klarschrift gesendet oder gespeichert werden.

    LG Marco
  4. Autor dieses Themas

    meik6

    meik6 hat kostenlosen Webspace.

    aff3m1tw4ff3 schrieb:
    Hi,

    also als erstes, Du solltest Dir direkt Mysqli anschauen. Mysql ist veraltet und wird in kommenden PHP Versionen nichtmehr unterstützt. Alternativ könntest Du auch PDO verwenden.
    Dein Passwort wird wohl verschlüsselt an die DB gesendet, was soweit auch ok und gut ist. Vermutlich wird es als MD5 Hash gesendet. Passwörter sollten nie als Klarschrift gesendet oder gespeichert werden.

    LG Marco


    Danke für deine Antwort. In meinem Fall war es ein MySQL Programm auf dem Desktop.
    Wenn du meinst das es MD5 ist müsste ich ja das slebe Passwort in Wireshark sehen wie wenn ich es in PHP umwandele. Doch irrgendwie unterscheiden sich diese beiden Hashes. Könnte es sein das eine anderer Hash algo verwendet wird?
  5. Autor dieses Themas

    meik6

    meik6 hat kostenlosen Webspace.

    hechma schrieb:
    hallo ,


    seit mysql4.1 wird ein neuer algorithmus benutz:
    https://dev.mysql.com/doc/refman/5.6/en/encryption-functions.html#function_password


    lg hechma


    Danke
    Sehe ich das richtig das es sich hierbei um einen SHA-256 Hash handelt?
  6. halo meik6,


    ich denke nicht. das hängt wie gesagt von deiner mysql version ab.
    eine überaus genaue beschreibung findest du in dem von mir oben geposteten link.


    lg hechma
  7. bruchpilotnr1

    Kostenloser Webspace von bruchpilotnr1

    bruchpilotnr1 hat kostenlosen Webspace.

    aff3m1tw4ff3 schrieb:
    also als erstes, Du solltest Dir direkt Mysqli anschauen. Mysql ist veraltet und wird in kommenden PHP Versionen nichtmehr unterstützt. Alternativ könntest Du auch PDO verwenden.


    warum sollte MySQL nicht mehr unterstützt werden? ohne mysql könnte es echte probleme mit wordpresswebseiten und vielen vielen weiteren geben, weil diese systeme auf mysql ausgelegt sind. es sei den die entwickler stellen sich darauf ein und programmieren die softwares um.
  8. matthias-detsch

    Kostenloser Webspace von matthias-detsch

    matthias-detsch hat kostenlosen Webspace.

    damit wird die PHP-Funktion mysql() gemeint und nicht MySQL an sich.
    mit mysqli() wurden viele Fehler und Sicherheitslücken behoben.
    deswegen wurde mysql() als veraltet markiert und wird vermutlich in einer der nächsten PHP-Versionen gar nicht mehr vorkommen.
  9. bruchpilotnr1

    Kostenloser Webspace von bruchpilotnr1

    bruchpilotnr1 hat kostenlosen Webspace.

    matthias-detsch schrieb:
    damit wird die PHP-Funktion mysql() gemeint und nicht MySQL an sich.
    mit mysqli() wurden viele Fehler und Sicherheitslücken behoben.
    deswegen wurde mysql() als veraltet markiert und wird vermutlich in einer der nächsten PHP-Versionen gar nicht mehr vorkommen.


    achso ok also muss ich mir keine sorgen mehr machen das es irgendwann keine mysql updates/datenbanken gibt ^^.
  10. matthias-detsch

    Kostenloser Webspace von matthias-detsch

    matthias-detsch hat kostenlosen Webspace.

    naja, seitdem MySQL Oracle gehört...
    jedenfalls gibt es einen (inoffiziellen) Nachfolger: MariaDB.
    wird von vilen inzwischen verwendet, z.B. von wikipedia.

    Beitrag zuletzt geändert: 19.4.2015 14:32:05 von matthias-detsch
  11. Zum Thema MD5:

    Davon sollte auch abgesehen werden. Es ist keine Verschlüsselung!
    Es ist lediglich zum Bilden von Prüfsummen geeignet.
    Viele verwenden es aber fälschlicherweise als "Verschlüsselung".
  12. Autor dieses Themas

    meik6

    meik6 hat kostenlosen Webspace.

    makobi schrieb:
    Zum Thema MD5:

    Davon sollte auch abgesehen werden. Es ist keine Verschlüsselung!
    Es ist lediglich zum Bilden von Prüfsummen geeignet.
    Viele verwenden es aber fälschlicherweise als "Verschlüsselung".


    War auch nicht als Verschlüsslung gemeint. Habe mir gedacht das sich mein mysql client mit einem hash aus meinem Passwort beim Server anmeldet.
  13. meik6 schrieb:


    War auch nicht als Verschlüsslung gemeint. Habe mir gedacht das sich mein mysql client mit einem hash aus meinem Passwort beim Server anmeldet.


    Macht er ja auch, wenn in deinem Script zum Beispiel mit MD5 ein Hash aus deinem Passwort gebildet wird, dann wird dies als Hash an den DB-Server gesendet.

    Das du jetzt mit Wireshark ein anderes im Klartext angezeigt bekommst, liegt daran, dass viele Wörter nach dem MD5 Hash eine gleiche Zeichenfolge haben.

    Bei einem Hash mit Sha256 kommt eine 128 Zeichen lange Folge heraus, hier ist es dann etwas unwahrscheinlicher, dass mehrere Wörter sich die gleiche Zeichenfolge teilen.

    Und noch etwas mehr Sicherheit bekommt man, wenn man einen sogenannten Salt vor oder hinter das reine Passwort hängt.
  14. Autor dieses Themas

    meik6

    meik6 hat kostenlosen Webspace.

    Danke
    Das habe ich mir auch gedacht. Nur war mir nicht klar was für ein hash es ist. Gibt je mittlerweile eine recht grosse Auswahl.
  15. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!