Dúvidas Md5

[siabreu]

Olá pessoal,

Estou tentando utilizar a função md5 em um sistema de login e não está funcionando.

Fiz o insert into na tabela com o campo de senha usando o md5.

Só que na hora de verificar a senha do usuário, o script não encontra no banco.

O que está errado??

Trecho do código para autenticar o usuario

//recebe os dados do formulario
$usuario = $_POST[txtUser];
$senha = $_POST[txtSenha];

//verifica

$sql = mysql_query("SELECT A.ID_USUARIO, A.NOME_USUARIO FROM tb_usuarios A WHERE A.USUARIO = '$usuario' AND A.SENHA = md5('$senha')")
or die("erro no comando sql");

trecho do código para incluir o usuário no banco

mysql_query("INSERT INTO tb_usuarios(nome_usuario,usuario,senha,email) VALUES ('$nome', '$usuario', md5('$senha'),'$email')") or die ("erro de sql: ".mysql_error());

[code]

O que está errado?? Alguém pode me ajudar?

[ppgsalomao]

Tenta assim:

//recebe os dados do formulario

$usuario = $_POST['txtUser'];

$senha = $_POST['txtSenha'];

$new_senha = md5($senha);

//verifica

$sql = mysql_query("SELECT A.ID_USUARIO, A.NOME_USUARIO FROM tb_usuarios A WHERE A.USUARIO = '$usuario' AND A.SENHA = '$new_senha'")

or die("erro no comando sql");

E para inserir no mesmo esquema !! Colocando fora da query SQL !!

[ffiction]

é..... o que é md5?? pra que serve.. sempre fiz minha inclusões em bd normalmente.... ql a diferença???? é incriptado??

[Illidan]

Isso... essa função encripta uma string, gerando uma outra string com 32 caracteres. E tb não tem como desencriptá-la depois.

[rEd nEcK *]

Como o Illidan falo é serve para encryptografar uma string !

isso serve mais para senhas, pois uma vez alguém *putz desculpa mais esqueci quem* falo para mim uma coisa que nunca vou esquecer..

"ao me cadastrar no seu site tenho que confiar a voce minha senha, ou seja voce tambem não pode ve-la !"

md5 é rox...

olha vo fala a coisa que eu demorei para conseguir consertar !

eu puis para adicionar na database o registro com md5... ok, e na hora de verificar tambem usei md5 ok. eu fiz tudo certo... mais sempre dava erro que o usuario e senha não conferem .. nossa cara vo te falar fiquei muito tempo para descobrir !

mais com o tempo vi que é uma coisa ridicula mais que muita gente erra ! o que estava errado é, ao encryptografar pelo md5 ele gera uma string de 32 numeros (palavras do Illidan) ok , so que na database eu tinha posto varchar(25) HAWhahwha

So um toque para quem errar na mesma coisa

[]´s

[Guest Jeison Souza]

Só não concordo que o MD5 não dá para desencripitar. Eu tenho um DB que está gravado informações de usuario e senha utilizando MD5 na senha, e uma parte do código do "Esqueceu sua senha", que envia as informações por e-mail, mostra que é possivel enviar a senha por e-mail descriptada, não sei como, pois não fiz nenhuma alteração na variavel "pass", e ao envia-la por e-mail, chega sem a encriptação... Se abrir a tabela no MySql, não dá para ver a senha, mas porque por e-mail é possivel desvenda-la ???

$query = mysql_query("select username, email, pass, login_code from Auth_users where username='nomedousuario' limit 1");

$count = mysql_num_rows($query);
if($count == 1)
{
$userinfo = mysql_fetch_array($query);
$msg = "Olá $userinfo[username],

Alguém solicitou o envio das informações de sua conta para este endereço de e-mail:

Usuário: $userinfo[username]
Senha:   $userinfo[pass]
Código de Acesso: $userinfo[login_code]

para registrar, vá para $site[url]

Se você não solicitou esta informação, favor ignore este e-mail.";

$mail = mail("$userinfo[email]", "Informações da Sua Conta","$msg", "From: WebAdmin");
$email = str_replace("@","[at]",$userinfo[email]);
$where = strpos("$userinfo[email]","@");
$email = substr("$userinfo[email]", 0,$where);
print("<BR><b class=\"texto\">$userinfo[username],</b><BR><BR><p class=\"texto\">As Informações de sua Conta foram enviadas para <BR><b><i>$email@</i>...</b><p>");
}

Abraços, Jeison Souza

[Illidan]

Eu sempre ouvi dizer que md5 é um "caminho sem volta", que nem o criador desse método pode desencriptar. Bom, esse código que você passou não desencripta! Só puxa o que está no banco de dados e manda um e-mail. Ou seja, se a senha estiver encriptada no mysql, ele vai mandá-la encriptada, mesmo!

Tem certeza de que ela está encriptada no db? Se for o caso, posta mais alguma parte do código... inclusive a parte que acrescenta um novo usuário, ok?

Até mais! Abraços!

[ppgsalomao]

Illidan,

Vamos lá, pensa comigo:

Se uma string que passa pelo md5 mais de uma vez retorna um mesmo valor em todas as vezes que passa, o processo é um só, concorda ?

Exemplo:

Se eu fizer:

echo md5("a");

E depois fizer de novo:

echo md5("a");

É porque as strrings passadas por parâmetro, são submetidas a um mesmo processo que não usa de funções de Randomização, como rand()

E, sendo um mesmo processo, no estudo dele pode se reverter o mesmo, concorda ??

Entaum, num é um caminho sem volta !!

Apenas não foi divulgado a volta (por que alguém já deve ter descuberto) ...

[Illidan]

Pedro,

Seu raciocínio tem lógica. Concordo que o processo é um só e que ele não usa nada randômico, como a função rand(), pois a mesma string que passa várias vezes pelo md5 retorna sempre o mesmo valor. Mas ainda acho que é possível criar um meio de você criptografar uma string num caminho "sem volta".

Vou mostrar um exemplo banal. O cálculo:

18 % 5 = 3

Mas do 3 você não consegue voltar no 18. Pois, por exemplo, 23 % 5 tb dá 3, assim como 28 % 5, etc..

Vou tentar montar uma criptografia que gera sempre o mesmo valor a partir de uma string, mas que não dá pra você voltar no valor original.

Até mais!

[ffiction]

entaum peralá!!! esse sistema de md5 gera qulquer senha com 32 char?? ou 1 char passa a ser 32 char??? entendeu??

a = mnajslerotmnajslerotmnajslerotça; // (32)
abc = mnajslerotmnajslerotmnajslerotçamnajslerotmnajslerotmnajslerotçamnajslerotmnajslerotmnajslerotça;

??

isso mesmo???

entaum é uma criptografia de 32 bits.. sendo assim.. não fica muito dificil de desncriptar.. mas isso é outra história... o que acontece entaum... se eu cadastro com md5 tenho que ler com md5???? e qlqr que seja o tipo do campo é sempre bom deixar com amsi de 50 entaum??

[Illidan]

ffiction,

O md5 sempre retorna uma string com 32 caracteres, independente do tamanho da string original (pode ser até uma string vazia).

Pedro,

Eu montei um esquema de criptografia "sem volta". É bem simples, só retorna 4 caracteres... mas pelo menos taí uma forma de como isso é possível.

Falou!

<?php

function hash($string) {

    $tamanho = strlen($string);

    // Coloca cada caractere da string original num array chamado $str

    for ($x = 0; $x < $tamanho; $x++) { $str[$x] = substr($string, $x, 1); }

    // Cria um array chamado $asc com todos os caracteres possíveis (0-9, A-Z, a-z), com 62 índices no total (0-61)

    for ($i = 0, $x = 97; $x <= 122; $x++, $i++) { $asc[$i] = chr($x); }

    for ($x = 48; $x <= 57; $x++, $i++) { $asc[$i] = chr($x); }

    for ($x = 65; $x <= 90; $x++, $i++) { $asc[$i] = chr($x); }

    // A varável $x é calculada de forma que não se possa desfazer o cálculo (assumirá um valor entre 0 e 3)

    if ($tamanho <= 3) {

        $x = $tamanho;

    } else {

        $x = $tamanho % 4;

    }

    // A varável $y é calculada de forma que não se possa desfazer o cálculo (assumirá um valor maior que 1)

    if ($tamanho > 0) {

        $y = ceil((ord($str[0]) + 2) / 2);

    } else {

        $y = 1;

    }

    // NÃO É POSSÍVEL DESCOBRIR OS VALORES QUE ORIGINARAM AS VARIÁVEIS $x e $y

    // PORTANTO, O HASH SERÁ CRIADO A PARTIR DE CÁLCULOS COM ESSAS VARIÁVEIS

    $z = isset($str[0]) ? $x + ord(end($str)) : $x + $y;

    while ($z > 61) { $z -= 62; }

    $hash[0] = $asc[$z];

    $z = isset($str[1]) ? ($str[1] * floor(exp($x))) : (($y + 155) * floor(exp($x)));

    while ($z > 61) { $z -= 62; }

    $hash[1] = $asc[$z];

    $z = isset($str[2]) ? pow(ord($str[2]), $x) : pow($y, $x) + 15;

    while ($z > 61) { $z -= 62; }

    $hash[2] = $asc[$z];

    $z = isset($str[3]) ? $y * ord($str[3]) : $y * ord($hash[2]);

    while ($z > 61) { $z -= 62; }

    $hash[3] = $asc[$z];

    $hash_final = NULL;

    foreach ($hash as $hash) { $hash_final .= $hash; }

    return $hash_final;

}

echo hash("abcde");

?>

[ppgsalomao]

Mas aih que tah ...

Ela não é impossível de desfazer !!

Mas em programas para hackear, ele testa as possibilidades oriundas da "descriptografia" !

Ou seja, a descriptografia hj em dia, serve mais para "diminuir o nº de possibilidades" !! Acredito que o md5 esteja dentro desse padrão, como você fez a sua criptografação !!

Agora, você diminuir de 1.000.000 para 4 possibilidades, já é um ENORME passo ...

Entendeu agora !?

E como a criptografia, no caso de senhas, serve basicamente para segurança, o aconselhável é tomar outras precauções além da criptografia !

[Illidan]

Então aí sim... é diferente você dizer que uma string criptografada pode ser descriptografada, e você dizer que um programa pode gerar uma lista de possibilidades pra uma string criptografada. Aí eu concordo com você...

O que gerou essa discussão foi que o Jeison Souza disse que o script dele desfazia o md5... aí eu acho meio difícil (voltar exatamente na string original). Até poderia haver um script que fizesse a lógica reversa, mas se o md5 trabalhar como eu estou imaginando, ele no máximo conseguiria uma lista das senhas que gerariam aquele hash, nunca a senha exata.

Mas beleza... você disse que é importante tomar outras precauções além da criptografia... quais seriam elas? você pode citar algumas?

[ppgsalomao]

Exemplo:

Não passar por um só algoritmo de encriptação !

Não permitir senhas pequenas ou só numéricas/alfabéticas !

Mas além de tudo, se possível, utilizar sempre um algoritmo próprio de encriptação ! Pois é mais difícil de descobrir a sua lógica !

Existem outras coisas !! Eu não entendo muito de segurança na programação !!

Mas devemos estar sempre atentos ao programar para evitar falhas que possam permitir a entrada no sistema !!

Evitando, por exemplo, o SQL Injection, entre outras formas "conhecidas" de invadir sistemas !!

[Illidan]

Ah, beleza!

Valeu! Gostei da idéia de utilizar mais de um método de encriptação! E tb de criar um método próprio!

[siabreu]

Pessoal,

Obrigada pelas dicas, funcionou perfeitamente.

O problema todo é que o campo senha da tabela estava definido como varchar de 15 e é claro, deveria ser pelo menos 32.

[]s Simone.

[TrymBeast]

Quais são as técnicas em PHP para evitar o SQL injection?

Usando a função addslashes() é o suficiente?

[Guest - Gustavo147 -]

usa crypt... o Error404 falo nesse post aki q num tem volta:

http://scriptbrasil.com.br/forum/index.php?showtopic=26584