MySQL 4.1-Passwörter mit PHP erzeugen

Wohnzimmerhostblogger

< Warum haben Sie mein Passwort nicht? | Rechnungen öffentlich? >

Dienstag, 28. März 2006

MySQL 4.1-Passwörter mit PHP erzeugen

Ich hab mich eben gefragt, ob es nicht eine einfach Möglichkeit gibt mit PHP Passwörter für eine MySQL-Datenbank zu generieren, ohne dabei auf MySQL's PASSWORD()-Funktion zurückzugreifen.

Nach ein wenig suchen im Quelltext von MySQL bin ich auf die Lösung gestoßen - wenn auch vorerst nur für MySQL-Server mit der Variable "old_passwords" ausgeschaltet - ergo: Mit dem neuen Authentifizierungs-Schema:

<?PHP
$Hash = "*" . sha1(sha1($Password, true));
?>

Erstaunlich einfach :-) Ich bin gespannt, wie schnell ich ich die Funktion OLD_PASSWORD() implementieren kann - das wird wohl etwas aufwändiger...

Btw.: Das ist ein Schritt auf dem Weg zum Datenbank-Passwörter durch den Kunden ändern lassen und verschlüsselt in meiner Kundendatenbank speichern. Ersteres ist noch nicht möglich, weil zweiteres noch nicht möglich ist - Plaintext-Passwörter sind bäh! ;-)

Geschrieben von Bernd Holzmüller in Tools um 16:03 | Kommentare (4) | Trackback (1)

Trackbacks
Trackback-URL für diesen Eintrag

Nachgelegt: "Alte" MySQL-Passwörter
Nachdem ich mich heute Mittag mit den neuen MySQL-Passwörtern beschäftigt habe, kommt hier der passende Code für ältere MySQL-Versionen. Auf aktuellen Server entspricht das der Funktion OLD_PASSWORD() bzw. der eingeschalteten Variable &quot;old_passwo
Weblog: Wohnzimmerhostblogger
Aufgenommen: Mär 28, 20:05

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Mal ne Frage, ich hoffe, du kannst sie beantworten, ohne dein System groß zu gefährden.

Wie speicherst du das Passwort? Klartext ist Schmarrn, das ist klar. Aber wie ist es verschlüsselt?

Ich hab selber mal n Verschlüsselungsprogramm geschrieben, und wollte dann, dass ein PW falsch ausgegeben wird, wenn es falsch ist. Nur dafür muss ich ja nun leider das PW abspeichern. Ich hab dann den 1. mit dem 2. Buchstaben usw. verschlüsselt. Also den ersten Buchstaben um x (x ist die Stelle an der der 2. Buchstabe im Alphabet steht) verschoben, und dann so weiter bis PW zu Ende war.

Das war so ein Mittelweg zwischen Sicherheit und Komfort. Aber da muss es doch andere Lösungen geben?!
#1 Adrian am 28.03.2006 16:52 (Antwort)
Ich speicher natürlich nur einen Passwort-Hash....
Und einen Mittelweg zwischen Komfort und Sicherheit kenne ich nicht. Bei Sicherheit gibt es nur kompatiblen Komfort :-P
#1.1 Bernd Holzmüller (Homepage) am 28.03.2006 18:26 (Antwort)
Sprich dein PW könnte statt abcd auch dcba sein?
Was habe ich gerade falsch verstanden?^^
#1.1.1 Adrian am 28.03.2006 20:15 (Antwort)
Nein, natürlich nicht...
Ein Hash ist nicht unabhängig von der Buchstaben Reihenfolge...
Kleines Beispiel MD5:

md5(abcd): e2fc714c4727ee9395f324cd2e7f331f
md5(dcba): 9134669f44c1af0532f613b7508283c4
#1.1.1.1 Bernd Holzmüller (Homepage) am 28.03.2006 20:20 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de