borin 0 Опубликовано: 2009-09-30 10:47:39 Share Опубликовано: 2009-09-30 10:47:39 Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется. Тут вижу 2 выхода и 1 костыль: 1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ 2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе 3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны. Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией. PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде. Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2009-09-30 10:52:04 Share Опубліковано: 2009-09-30 10:52:04 правильно сверять хеш Ссылка на сообщение Поделиться на других сайтах
Pretender 5 Опубліковано: 2009-09-30 11:09:53 Share Опубліковано: 2009-09-30 11:09:53 Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется.Тут вижу 2 выхода и 1 костыль: 1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ 2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе 3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны. Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией. PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде. 1)берете у админа логин+ пароль 2)к паролю прибавляете "соль" и шифруете md5, 3)закидываете в базу при авторизации проверяетев веденные данные с тем что в базе в шифрованном виде. в случае если у вас уведут базу админских прав всё равно не получат. "соль"- любой постоянный набор симфолов я не знаю насколько мой способ подойдет для stg но на многих сайтах использую именно такую авторизацию. Ссылка на сообщение Поделиться на других сайтах
borin 0 Опубліковано: 2009-09-30 13:56:20 Автор Share Опубліковано: 2009-09-30 13:56:20 Нет, меня наверно не правильно поняли, старгайзер сохраняет пароли в базе уже в зашифрованном виде, например: пользователь admin, а пароль geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa, а на самом деле пароль 123456. Т.е. вот эта "geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa" это уже и напоминает хэш-функцию от 123456. Только дело в том нужен алгоритм каким образом старгайзер формирует из 123456 вот эту длинную строку. Тогда проблем не возникнет, мне останется преобразовать пароль который будет вводить админ в вэб-интерфейсе к такому же виду и сравнить с этой строкой в базе, если совпадут можно авторизовывать. Аналог md5, но в данном случае строка формируется не md5 алгоритмом. Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2009-09-30 16:58:35 Share Опубліковано: 2009-09-30 16:58:35 ну так смотри исходники стг, каким запросом он складывает пароль в бд, в каком месте он его шифрует Ссылка на сообщение Поделиться на других сайтах
borin 0 Опубліковано: 2009-10-01 12:20:24 Автор Share Опубліковано: 2009-10-01 12:20:24 ну так смотри исходники стг, каким запросом он складывает пароль в бд, в каком месте он его шифрует Отличный совет, если бы я мог разобраться в исходниках я бы не спрашивал совета. В принципе, если бы научить sgconf, чтоб он при передаче ему логина пароля, давал однозначный ответ "да"/"нет"/"сервер не запущен", мне как таковой пароль в чистом виде и не нужен. И еще вопрос разработчикам: планируется ли обучение sgconf который идет в комплекте, тем функциям которые доступны через sgconf_xml? Тогда бы можно было использовать только родной. Ссылка на сообщение Поделиться на других сайтах
Prime 51 Опубліковано: 2009-10-01 14:01:04 Share Опубліковано: 2009-10-01 14:01:04 алгоритм blowfish можно почитать в blowfish.cpp какие переменные принимает функция Encrypt и сделать похожую, добавив только инклудами хедеры Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас