Перейти до

Зашифрованный пароль в базе в таблице Admins


Рекомендованные сообщения

Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется.

Тут вижу 2 выхода и 1 костыль:

1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ

2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе

3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны.

 

Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией.

 

PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде.

Ссылка на сообщение
Поделиться на других сайтах
Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется.

Тут вижу 2 выхода и 1 костыль:

1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ

2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе

3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны.

 

Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией.

 

PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде.

 

1)берете у админа логин+ пароль

2)к паролю прибавляете "соль" и шифруете md5,

3)закидываете в базу

при авторизации проверяетев веденные данные с тем что в базе в шифрованном виде.

в случае если у вас уведут базу админских прав всё равно не получат.

"соль"- любой постоянный набор симфолов

 

я не знаю насколько мой способ подойдет для stg но на многих сайтах использую именно такую авторизацию.

Ссылка на сообщение
Поделиться на других сайтах

Нет, меня наверно не правильно поняли, старгайзер сохраняет пароли в базе уже в зашифрованном виде, например:

пользователь admin, а пароль geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa, а на самом деле пароль 123456.

Т.е. вот эта "geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa" это уже и напоминает хэш-функцию от 123456. Только дело в том нужен алгоритм каким образом старгайзер формирует из 123456 вот эту длинную строку. Тогда проблем не возникнет, мне останется преобразовать пароль который будет вводить админ в вэб-интерфейсе к такому же виду и сравнить с этой строкой в базе, если совпадут можно авторизовывать. Аналог md5, но в данном случае строка формируется не md5 алгоритмом.

Ссылка на сообщение
Поделиться на других сайтах
ну так смотри исходники стг, каким запросом он складывает пароль в бд, в каком месте он его шифрует

 

Отличный совет, если бы я мог разобраться в исходниках я бы не спрашивал совета.

 

В принципе, если бы научить sgconf, чтоб он при передаче ему логина пароля, давал однозначный ответ "да"/"нет"/"сервер не запущен", мне как таковой пароль в чистом виде и не нужен.

 

И еще вопрос разработчикам: планируется ли обучение sgconf который идет в комплекте, тем функциям которые доступны через sgconf_xml? Тогда бы можно было использовать только родной.

Ссылка на сообщение
Поделиться на других сайтах

алгоритм blowfish

можно почитать в blowfish.cpp какие переменные принимает функция Encrypt и сделать похожую, добавив только инклудами хедеры

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...