PHP Verschlüsseln und Entschlüsseln - Seite 2

Wolla · 12.02.2009, 17:21

Rainbowtabellen sind wirkungslos gegen einen variablen Salt, wie Nikosch schon in #4 schrieb. Hier ein Beispiel:

PHP-Code:

  // Kunde hat $name und $passwort eingegeben
$sql = "INSERT INTO kunden (name) 
          VALUES ('" . mysql_real_escape_string($name) . "')";
mysql_query($sql);

// Ermitteln des Autoindex-Wertes
$id = mysql_insert_id();

// zu speichernden Hash für Passwort berechnen
$str = $name . $passwort . 'topsecret';
for ( $i = 0; $i < 10000; $i++ ) {
  $str = md5($str . $id);
}

// Passwort speichern
$upd = "UPDATE kunden SET passwort = '$str' WHERE id = " . $id;
mysql_query($upd);

thiagojonas · 12.02.2009, 17:32

Okay Leute,
erstmal Vielen Dank für Eure Hilfen.
Jedoch diese heftige Diskussion wollte ich eigentlich nicht entfachen

nikosch · 12.02.2009, 17:59

Dann solltest Du zukünftig den genauen Anwendungsfall schildern. Bspw. was für Daten da verschlüsselt werden sollen.

12.02.2009, 19:33

Hi,

also ich hab's mit den MySQL-Funktionen AES_ENCRYPT() und AES_DECRYPT() umgesetzt. Damit verschlüsseln wir unsere Adress-Daten direkt in der Datenbank, funktioniert einwandfrei.

MySQL :: MySQL 5.1 Referenzhandbuch :: 12.10.2 Verschlüsselungs- und Kompressionsfunktionen

Dass Passwort steht natürlich im PHP-Quelltext, aber so muss ein Angreifer schon mal zwei Hürden überwinden.

Achso, die Partition mit den Daten + Quelltext ist mit DM-Crypt und Cryptsetup-LUKS verschlüsselt

Flor1an · 12.02.2009, 19:34

Ihr scheint ja wichtige Daten zu haben.

12.02.2009, 20:08

Zitat:

Zitat von Flor1an

Ihr scheint ja wichtige Daten zu haben.

Na ja, Kundendaten halte ich immer für wichtig (wobei es bei uns in der Tat etwas sensiblere Daten sind) und der Aufwand ist relativ gering. Kann allerdings sein, dass bei richtig fetten Tabellen die Performance etwas in den Keller geht.
Ich mein', eine blöde SQL-Injection, und schon kann man lustig die Datenbank auslesen, wie neulich bei Kaspersky geschehen. Sind die Daten verschlüsselt, sieht man nur binären Müll

Die Partition habe ich verschlüsselt, falls die Blechkiste gestohlen wird. Der Server steht hier bei uns im Intranet, bei einem Provider sieht es vielleicht anders aus.

Du wirst lachen, der Quelltext sollte ursptünglich auch noch verschlüsselt werden. Ich hatte dazu einige "Tools" evaluiert. Aber für den teuersten, Zend Guard, habe ich Decompiler im Internet gefunden - denke mal da gibt es nichts sicheres? Oder kenn da jemand etwas gutes? ionCube PHP Encoder
/ SourceGuardian?

Flor1an · 12.02.2009, 20:21

Irgendwie lässt sich SourceCode immer zurückführen. Denn er kann ja nicht verändert werden, er muss ja der selbe Code bzw. die selben Befehle enthalten. Daher wirst du da nicht 100%tigen Schutz finden.

13.02.2009, 10:40

zendguard: kannste vergessen. die preise sind unverschämt (mein letzter stand vor einem jahr: ~1000,- jahreslizenz)

sourceguardian: taugt nichts in technischer hinsicht; keine alternative zu zendguard und ioncube.

ioncube: sehr gutes preis-leistungsverhältnis, vor allem bei schwachem dollar. funktioniert einwandfrei. hervorragender + freundlicher support. als industriestandard ist der decoder bei einigen hostern vorinstalliert, bspw. webhostone.de

für das cracken der encodierten files gibt's zumindest theoretische ansätze; stefan esser hat dazu mal was veröffentlicht: www.suspekt.org

es soll ein paar böse chinesische hacker geben, die ioncubed files im handumdrehen entschlüsseln; ich habe bis dato nichts entsprechendes im netz gefunden. es gibt ein paar "dienstleister" wie diesen unzend.com - eine meinung kann sich jeder selbst dazu bilden.

sicher - "geht nicht" gibt's nicht, aber wenn man sich mit der technologie von ioncube (ich kann zu zend nichts weiter sagen) gründlich auseinandersetzt...

cx

13.02.2009, 23:54

cortex, danke für die Infos!

Letztendlich sind verschlüsselungstechnisch die Encoder bessere
Obfuscators

Zumindest bekommt man gegen Cash den Source.

14.02.2009, 09:48

Zitat:

Zitat von phpdev

Letztendlich sind verschlüsselungstechnisch die Encoder bessere Obfuscators

wie gesagt... muss sich jeder seine eigene meinung bilden.

cx

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Teil eines Wertes verschlüsseln und später wieder entschlüsseln?	BartTheDevil89	PHP Tipps 2008	8	12.08.2008 12:41
Sicheres verschlüsseln mit mcrypt?	t.animal	PHP-Fortgeschrittene	23	05.05.2008 20:23
PHP Code Verschlüsseln	errox	PHP-Fortgeschrittene	29	18.04.2008 08:07
php packete local entschlüsseln	notyyy	PHP Tipps 2006	4	12.11.2006 23:20
ID des aktuellen Dokuments verschlüsseln	phpbeginner	PHP Tipps 2006	11	06.09.2006 13:32
Zahlen effektiv verschlüsseln	Jacks Rache	PHP Tipps 2006	20	10.07.2006 01:44
Verschlüsseln. Endschlüsseln ?	solitaer	PHP-Fortgeschrittene	12	09.11.2005 11:00
Verschlüsseln und wieder Entschlüsseln	Igäl	PHP Tipps 2005	2	03.05.2005 13:46
Apache: IP-Adresse im Quelltext verschlüsseln		Server, Hosting und Workstations	2	16.03.2005 00:22
Entschlüsseln	pc-freak	PHP Tipps 2005	3	21.01.2005 17:30
ist sowas ähnliches wie verschlüsseln einer variable mögl.?	Promaetheus	PHP Tipps 2004	5	19.10.2004 18:03
MySQL Einträge verschlüsseln		Datenbanken	2	27.09.2004 14:40
verschlüsseln per md5		PHP Tipps 2004	13	26.09.2004 11:52
verschlüsseln und entschlüsseln		PHP Tipps 2004	4	24.07.2004 17:24
Passwort verschlüsseln und wieder entschlüsseln		PHP Tipps 2004	8	26.06.2004 18:15

12.02.2009, 17:21
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.839 PHP-Kenntnisse: Fortgeschritten	Rainbowtabellen sind wirkungslos gegen einen variablen Salt, wie Nikosch schon in #4 schrieb. Hier ein Beispiel: PHP-Code: // Kunde hat $name und $passwort eingegeben $sql = "INSERT INTO kunden (name) VALUES ('" . mysql_real_escape_string($name) . "')"; mysql_query($sql); // Ermitteln des Autoindex-Wertes $id = mysql_insert_id(); // zu speichernden Hash für Passwort berechnen $str = $name . $passwort . 'topsecret'; for ( $i = 0; $i < 10000; $i++ ) { $str = md5($str . $id); } // Passwort speichern $upd = "UPDATE kunden SET passwort = '$str' WHERE id = " . $id; mysql_query($upd);


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

12.02.2009, 17:32
thiagojonas Erfahrener Benutzer Registriert seit: 03.10.2008 Beiträge: 211	Okay Leute, erstmal Vielen Dank für Eure Hilfen. Jedoch diese heftige Diskussion wollte ich eigentlich nicht entfachen

12.02.2009, 17:59
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.048 PHP-Kenntnisse: Fortgeschritten	Dann solltest Du zukünftig den genauen Anwendungsfall schildern. Bspw. was für Daten da verschlüsselt werden sollen. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

12.02.2009, 19:33
phpdev Gast Beiträge: n/a	Hi, also ich hab's mit den MySQL-Funktionen AES_ENCRYPT() und AES_DECRYPT() umgesetzt. Damit verschlüsseln wir unsere Adress-Daten direkt in der Datenbank, funktioniert einwandfrei. MySQL :: MySQL 5.1 Referenzhandbuch :: 12.10.2 Verschlüsselungs- und Kompressionsfunktionen Dass Passwort steht natürlich im PHP-Quelltext, aber so muss ein Angreifer schon mal zwei Hürden überwinden. Achso, die Partition mit den Daten + Quelltext ist mit DM-Crypt und Cryptsetup-LUKS verschlüsselt

12.02.2009, 19:34
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.806 PHP-Kenntnisse: Fortgeschritten	Ihr scheint ja wichtige Daten zu haben. __________________ ▇█▓▒░◕‿‿◕░▒▓█▇

12.02.2009, 20:21
Flor1an ¯\_(ツ)_/¯ Registriert seit: 18.06.2008 Beiträge: 8.806 PHP-Kenntnisse: Fortgeschritten	Irgendwie lässt sich SourceCode immer zurückführen. Denn er kann ja nicht verändert werden, er muss ja der selbe Code bzw. die selben Befehle enthalten. Daher wirst du da nicht 100%tigen Schutz finden. __________________ ▇█▓▒░◕‿‿◕░▒▓█▇

13.02.2009, 10:40
cortex Gast Beiträge: n/a	encoder zendguard: kannste vergessen. die preise sind unverschämt (mein letzter stand vor einem jahr: ~1000,- jahreslizenz) sourceguardian: taugt nichts in technischer hinsicht; keine alternative zu zendguard und ioncube. ioncube: sehr gutes preis-leistungsverhältnis, vor allem bei schwachem dollar. funktioniert einwandfrei. hervorragender + freundlicher support. als industriestandard ist der decoder bei einigen hostern vorinstalliert, bspw. webhostone.de für das cracken der encodierten files gibt's zumindest theoretische ansätze; stefan esser hat dazu mal was veröffentlicht: www.suspekt.org es soll ein paar böse chinesische hacker geben, die ioncubed files im handumdrehen entschlüsseln; ich habe bis dato nichts entsprechendes im netz gefunden. es gibt ein paar "dienstleister" wie diesen unzend.com - eine meinung kann sich jeder selbst dazu bilden. sicher - "geht nicht" gibt's nicht, aber wenn man sich mit der technologie von ioncube (ich kann zu zend nichts weiter sagen) gründlich auseinandersetzt... cx

13.02.2009, 23:54
phpdev Gast Beiträge: n/a	cortex, danke für die Infos! Letztendlich sind verschlüsselungstechnisch die Encoder bessere Obfuscators Zumindest bekommt man gegen Cash den Source.