|
|
|
|
|
|
|||||||
| PHP-Fortgeschrittene Arbeiten mit PHP ohne Einschränkungen |
|
|
|
LinkBack | Themen-Optionen | Thema bewerten |
30.05.2005, 14:45
|
#1 (permalink) |
|
Gast
Beiträge: n/a
|
Verschlüsselung
Hallo,
ich habe mal wieder eine Frage.. Und zwar muss ich ein Passwort in einem Cookie speichern. Nun wollte ich aber das Passwort nicht im Klartext dort speichern, da es zu unsicher ist. Da ich das Passwort aber nachher im Klartext benötige (also unverschlüsselt, ohne MD5, Crypt,..) wollte ich fragen, ob ihr eine Idee habt, wie ich es am besten so verschlüsseln kann, dass ich es nachher auch wieder entschlüsseln kann. Ich würde mich über ein kleines Beispiel, falls ihr eine Idee habt, sehr freuen. Mit freundlichen Grüßen, hypers |
|
|
|
PHP Code Flüsterer
Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten
|
|
|
30.05.2005, 14:53
|
#2 (permalink) |
|
Moderator
Registriert seit: 03.09.2004
Beiträge: 11.637
PHP-Kenntnisse: Fortgeschritten   |
in nem cookie hat ein passwort nix zu sucehn, nimm sessions.
__________________
robo47.net - Blog, Codeschnipsel und mehr |  Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework
|
|
|
30.05.2005, 14:54
|
#3 (permalink) |
|
Erfahrener Benutzer
Registriert seit: 25.02.2004
Beiträge: 1.524
 |
denn was machst du wenn der user cookies deaktiviert hat?!
__________________
"die Mitte des Textes kann ja theor. mitten in einem Text liegen" http://www.jagr.de/
|
|
|
|
30.05.2005, 15:14
|
#5 (permalink) |
|
Moderator
Registriert seit: 03.09.2004
Beiträge: 11.637
PHP-Kenntnisse: Fortgeschritten |
ja und? da hat ein passwort nix drin zu suchen. die SessionID von mir aus und gut ist, damit das ganze nachvollzogen werden kann.
__________________
robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework
|
|
|
|
30.05.2005, 15:20
|
#6 (permalink) |
|
Gast
Beiträge: n/a
|
aber wie soll ich es sonst beim autologin machen? denn ich brauche das pw unverschlüsselt an einer stelle (da ist nichts anderes zu machen). also werde ich es irgendwie im cookie verschlüselt speichern müssen, sodass ich es aber auch wieder entschlüsseln kann.
|
|
30.05.2005, 15:31
|
#7 (permalink) |
|
Moderator
Registriert seit: 03.09.2004
Beiträge: 11.637
PHP-Kenntnisse: Fortgeschritten |
je nach system ob du db-basierende sessions hast oder nicht
-> SessionID in einer Tabelle speichern, dass sie beim nächsten mal wenn der user kommt noch bekannt ist -> diese ID in einem lang lebenden cookie speichern (nicht der standardsessioncookie) alles andere ist meiner meinung nach schwachfug und unsicher :P mfg robo47
__________________
robo47.net - Blog, Codeschnipsel und mehr | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework
|
|
|
|
30.05.2005, 15:31
|
#8 (permalink) |
|
Gast
Beiträge: n/a
|
Autologin finde ich zwar ziemlich ...mistig, aber egal.
phpB z.B. speichert den md5-Hash des Passworts im cookie. Wird mit der Anfrage ein entsprechender Keks gesendet, überprüft phpBB direkt diesen Wert mit dem in der DB hinterlegten. -Deshalb ist es auch kein kleines Problem, wenn bei phpBB eine sql-injection herauskommt, mit der man die md5-hashes auslesen kann- |
|
30.05.2005, 16:03
|
#9 (permalink) | |
|
Gast
Beiträge: n/a
|
Zitat:
 Letztens, als das Forum gehackt wurde, kam da was ganz anderes raus, was tatsächlich im Cookie beim Autologin steht. PHP-Code:
Code:
Array
(
[autologinid] =>
[userid] => -1
)
|
|
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
