Зашифрованный пароль в базе в таблице Admins

[borin 0]

Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется.

Тут вижу 2 выхода и 1 костыль:

1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ

2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе

3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны.

 

Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией.

 

PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде.

[Prime 51]

правильно сверять хеш

[Pretender 5]

Пишем вэбку которая бы работала с не патченной базой (решили не дожидаться автора, да и за одно по изучать php). Все пока на начальном этапе, стали прикручивать авторизацию, и тут же напоролись на грабли: пароль в базе на администраторов шифруется.

Тут вижу 2 выхода и 1 костыль:

1) Если пароль можно расшифровать, расшифровываем и сверяем с тем что ввел админ

2) Если пароль зашифрован необратимым шифрованием, то шифруем тот пароль который вводит пользователь и полученный результат сверяем с тем что в базе

3) (костыль - сейчас пока так и реализовано) прошу sgconf_xml совершить какое-нибудь действие с логином и паролем которые вводит админ, если ошибки нет значит авторизовываю админа, если ошибка login incorrect значит логин+пароль не верны.

 

Хотелось бы авторизацию осуществлять или первым или вторым способом, может кто что подскажет с реализацией.

 

PS. В патченной базе от Алферова, пароль в базе ложится в чистом виде.

 

1)берете у админа логин+ пароль

2)к паролю прибавляете "соль" и шифруете md5,

3)закидываете в базу

при авторизации проверяетев веденные данные с тем что в базе в шифрованном виде.

в случае если у вас уведут базу админских прав всё равно не получат.

"соль"- любой постоянный набор симфолов

 

я не знаю насколько мой способ подойдет для stg но на многих сайтах использую именно такую авторизацию.

[borin 0]

Нет, меня наверно не правильно поняли, старгайзер сохраняет пароли в базе уже в зашифрованном виде, например:

пользователь admin, а пароль geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa, а на самом деле пароль 123456.

Т.е. вот эта "geahonjehjfofnhammefahbbbfbmpkmkmmefahbbbfbmpkmkmmefahbbbfbmpkmkaa" это уже и напоминает хэш-функцию от 123456. Только дело в том нужен алгоритм каким образом старгайзер формирует из 123456 вот эту длинную строку. Тогда проблем не возникнет, мне останется преобразовать пароль который будет вводить админ в вэб-интерфейсе к такому же виду и сравнить с этой строкой в базе, если совпадут можно авторизовывать. Аналог md5, но в данном случае строка формируется не md5 алгоритмом.

[911 140]

ну так смотри исходники стг, каким запросом он складывает пароль в бд, в каком месте он его шифрует

[borin 0]

ну так смотри исходники стг, каким запросом он складывает пароль в бд, в каком месте он его шифрует

 

Отличный совет, если бы я мог разобраться в исходниках я бы не спрашивал совета.

 

В принципе, если бы научить sgconf, чтоб он при передаче ему логина пароля, давал однозначный ответ "да"/"нет"/"сервер не запущен", мне как таковой пароль в чистом виде и не нужен.

 

И еще вопрос разработчикам: планируется ли обучение sgconf который идет в комплекте, тем функциям которые доступны через sgconf_xml? Тогда бы можно было использовать только родной.

[Prime 51]

алгоритм blowfish

можно почитать в blowfish.cpp какие переменные принимает функция Encrypt и сделать похожую, добавив только инклудами хедеры