Diskuse JPW: bezpecnost funkcie password

	Autor	Zpráva
	dizz Profil *	#1 · Zasláno: 14. 6. 2011, 22:10:47 · Upravil/a: Moderátor (editace znemožněna) Odpovědět Citovat Zdravim chcel by som sa opytat na bezpecnost ukladania hesiel do mysql databazy pomocou prikazu password. Je mozne aby niekto zistil ake hesla su v databaze ulozene? Pri ukladani do databazy pouzivam takyto prikaz $prikaz = "INSERT INTO uzivatelia VALUES (null, '$login', PASSWORD('$heslo'), '$email')"; dakujem
	ShiraNai7 Profil	#2 · Zasláno: 14. 6. 2011, 22:15:39 Odpovědět Citovat dizz: „Je mozne aby niekto zistil ake hesla su v databaze ulozene?“ Nelze. „Pri ukladani do databazy pouzivam takyto prikaz“ Nepoužívej. Funkce PASSWORD() je výhradně pro autentifikaci MySQL. Použij raději MD5() nebo podobnou. Viz dokumentace: The PASSWORD() function is used by the authentication system in MySQL Server; you should not use it in your own applications. For that purpose, consider MD5() or SHA2() instead.
	dizz Profil *	#3 · Zasláno: 14. 6. 2011, 22:43:21 Odpovědět Citovat ShiraNai7: Dakujem ... cim skorej to prerobim ... mam vsak spraveny web s vyssie spomenutym ukladanim hesiel do databazy ... urcitu dobu sa k prerobeniu tohto sposobu nedostanem ..vies mi povedat na kolko je tento sposob zly ? ako myslim je to uplna katastrofa to takto pouzivat ?ci akurat je to nevhodne lebo ta funkcia je urcena len pre autentifikaciu v MySQL ako si uz spominal ?
	dizz Profil *	#4 · Zasláno: 14. 6. 2011, 23:18:23 Odpovědět Citovat mohol by mi niekto odpovedat na otazku co som sa pytal ShiraNai7na ked tu on nieje.. ? vdaka
	YoSarin Profil	#5 · Zasláno: 14. 6. 2011, 23:24:40 Odpovědět Citovat dizz: Není to šťastné řešení. Když se vývojáři MySQL rozhodnou, že změní metodiku se kterou ta funkce pracuje, budeš pravděpodobně vyřízený (resp. všichni tví uživatelé a jen za předpokladu že nebude k dispozici žádná funkce typu "OLD_PASSWORD").
	dizz Profil *	#6 · Zasláno: 14. 6. 2011, 23:30:25 Odpovědět Citovat dakujem :) to zatial staci a hned ako to bude mozne tak to prerobim :)
	dizz Profil *	#7 · Zasláno: 14. 6. 2011, 23:31:18 Odpovědět Citovat YoSarin: dakujem
	Tori Profil	#8 · Zasláno: 14. 6. 2011, 23:57:57 Odpovědět Citovat ShiraNai7: > „Je mozne aby niekto zistil ake hesla su v databaze ulozene?“ > > Nelze. Jen přidávám citaci z manuálu, riziko sice malé, ale je: „Statements that invoke PASSWORD() may be recorded in server logs or in a history file such as ~/.mysql_history, which means that plaintext passwords may be read by anyone having read access to that information.“
		Časová prodleva: 13 let

Vaše odpověď

Mohlo by se hodit