Передача ввода пароля в соленый хеш-токен перед вставкой в БД mysql

Question

Передача ввода пароля в соленый хеш-токен перед вставкой в БД mysql

0

Я отправляю данные из формы в эту логику для регистрации пользователей. Вопрос, который у меня есть, заключается в том, как взять информацию, отправленную в переменную $ userpw в этой логике, и передать ее в токен, а затем вставить содержимое токена в db в качестве пароля пользователя. Я очень новичок в PHP, прошу прощаться со мной. я просто меняю инструкцию insert, чтобы включить переменную токена вместо userpw?

//---sanitize function on a different file.
require 'sanitize.php';

//-------------variables including the hashed token--------------
  $userid   = $username= $userpw = $userfname = $userlname = '';
  $salt     = "qm&h*";
  $pepper   = "pg!@";
  $token    = hash('ripemd128', "$salt$userpw$pepper");


//--------existing insert logic-------------
if (isset($_POST['user_name'])    &&
    isset($_POST['user_pw']) &&
    isset($_POST['user_fname']) &&
    isset($_POST['user_lname']))
  {

    $username      = sanitizeString($_POST['user_name']);
    $userpw        = sanitizeString($_POST['user_pw']);
    $userfname     = sanitizeString($_POST['user_fname']);
    $userlname     = sanitizeString($_POST['user_lname']);
    $query    = "INSERT INTO users (user_name, user_pw, user_fname, user_lname) VALUES" .
      "('$username', '$userpw', '$userfname', '$userlname')";
         $result   = $conn->query($query);

    if (!$result) echo "INSERT failed: $query<br>" .
      $conn->error . "<br><br>";

DanMan3395 10 апр. 2018, в 20:42

Источник

2

Используйте password_hash() при сохранении пароля и password_verify() при проверке пароля.
Barmar 10 апр. 2018, в 18:40
2

^ ... и не объединяйте данные в запрос, вместо этого используйте подготовленные операторы
Mehdi Bounya 10 апр. 2018, в 18:40
0

Соль должна быть уникальной для каждого пароля, но просто используйте password_hash() и позвольте ей генерировать соль для вас.
Mehdi Bounya 10 апр. 2018, в 18:41
0

ВНИМАНИЕ : При использовании mysqli вы должны использовать параметризованные запросы и bind_param для добавления пользовательских данных в ваш запрос. НЕ используйте ручное экранирование и интерполяцию или конкатенацию строк для достижения этой цели, потому что вы будете создавать серьезные ошибки SQL-инъекций . Случайно ушедшие данные представляют серьезный риск. Использование связанных параметров менее многословно и проще для проверки, чтобы убедиться, что вы делаете это правильно.
tadman 10 апр. 2018, в 18:41
0

ВНИМАНИЕ : написать свой собственный уровень контроля доступа нелегко, и есть много возможностей сделать его неправильно. Пожалуйста, не пишите свою собственную систему аутентификации, когда любая современная среда разработки, такая как Laravel, оснащена встроенной надежной системой аутентификации . По крайней мере, следуйте рекомендуемым рекомендациям по безопасности и никогда не храните пароли в виде простого текста или слабого хеша, такого как SHA1 или MD5 .
tadman 10 апр. 2018, в 18:41
0

это для учебного проекта, а не производства. Я понимаю, что есть лучшие способы сделать это, но я хочу понять логику, делающую это таким образом.
DanMan3395 10 апр. 2018, в 18:41
2

Если вы хотите узнать неправильный способ сделать это, это путь. Если вы хотите узнать правильный путь, вам нужно проверить, что А) Вы используете подготовленные операторы со значениями-заполнителями. Б) Вы используете хеширующую функцию паролей, такую как Bcrypt, которую password_hash удобно использовать по умолчанию, и В) То, что у вас есть хорошие примеры для работы, а не учебники YouTube, написанные людьми, которые понятия не имеют, что они делают.
tadman 10 апр. 2018, в 18:43
1

Этот материал очень трудно понять совершенно правильно, и все, что не идеально, подвергает вас, ваших пользователей и, возможно, вашу компанию огромным рискам. Например, одна дыра для внедрения SQL - это все, что нужно для того, чтобы вызвать полный хаос и разрушить или скомпрометировать производственную базу данных.
tadman 10 апр. 2018, в 18:44
0

@tadman Я полностью согласен, я просто следую процессу обучения, описанному в книге, и пытаюсь адаптировать методы, предоставляемые для внутреннего тестового сайта, без коммерческого применения или воздействия на пользователя. Чисто образовательный.
DanMan3395 10 апр. 2018, в 18:46
0

Какая это книга? Похоже, что он был написан в 1990-х и никогда не обновляется, если это то, что они рекомендуют вам делать. Этот вид кода был весьма подозрительным, взломщики паролей становились намного лучше, и сегодня он совершенно опасен, поскольку высокоскоростной параллельный взлом GPU стал обычным явлением.
tadman 10 апр. 2018, в 18:47
0

Это «Изучение PHP, MySQL и JavaScript» Робина Никсона. Это просто руководство для начинающих, объясняющее основную концепцию хеширования паролей. Это не значит, что я применяю эту технику в реальном мире.
DanMan3395 10 апр. 2018, в 18:52
1

ИМО, если книга или учебник рекомендует такие вещи, вы отказываетесь от них и ищете лучший. Если вы учитесь, изучите хорошие практики.
Mehdi Bounya 10 апр. 2018, в 20:06

Показать ещё 10 комментариев

Теги:

php

mysql

passwords

1 ответ

Ещё вопросы

Используйте password_hash() при сохранении пароля и password_verify() при проверке пароля.
^ ... и не объединяйте данные в запрос, вместо этого используйте подготовленные операторы
Соль должна быть уникальной для каждого пароля, но просто используйте password_hash() и позвольте ей генерировать соль для вас.
ВНИМАНИЕ : При использовании mysqli вы должны использовать параметризованные запросы и bind_param для добавления пользовательских данных в ваш запрос. НЕ используйте ручное экранирование и интерполяцию или конкатенацию строк для достижения этой цели, потому что вы будете создавать серьезные ошибки SQL-инъекций . Случайно ушедшие данные представляют серьезный риск. Использование связанных параметров менее многословно и проще для проверки, чтобы убедиться, что вы делаете это правильно.
ВНИМАНИЕ : написать свой собственный уровень контроля доступа нелегко, и есть много возможностей сделать его неправильно. Пожалуйста, не пишите свою собственную систему аутентификации, когда любая современная среда разработки, такая как Laravel, оснащена встроенной надежной системой аутентификации . По крайней мере, следуйте рекомендуемым рекомендациям по безопасности и никогда не храните пароли в виде простого текста или слабого хеша, такого как SHA1 или MD5 .
это для учебного проекта, а не производства. Я понимаю, что есть лучшие способы сделать это, но я хочу понять логику, делающую это таким образом.
Если вы хотите узнать неправильный способ сделать это, это путь. Если вы хотите узнать правильный путь, вам нужно проверить, что А) Вы используете подготовленные операторы со значениями-заполнителями. Б) Вы используете хеширующую функцию паролей, такую как Bcrypt, которую password_hash удобно использовать по умолчанию, и В) То, что у вас есть хорошие примеры для работы, а не учебники YouTube, написанные людьми, которые понятия не имеют, что они делают.
Этот материал очень трудно понять совершенно правильно, и все, что не идеально, подвергает вас, ваших пользователей и, возможно, вашу компанию огромным рискам. Например, одна дыра для внедрения SQL - это все, что нужно для того, чтобы вызвать полный хаос и разрушить или скомпрометировать производственную базу данных.
@tadman Я полностью согласен, я просто следую процессу обучения, описанному в книге, и пытаюсь адаптировать методы, предоставляемые для внутреннего тестового сайта, без коммерческого применения или воздействия на пользователя. Чисто образовательный.
Какая это книга? Похоже, что он был написан в 1990-х и никогда не обновляется, если это то, что они рекомендуют вам делать. Этот вид кода был весьма подозрительным, взломщики паролей становились намного лучше, и сегодня он совершенно опасен, поскольку высокоскоростной параллельный взлом GPU стал обычным явлением.
Это «Изучение PHP, MySQL и JavaScript» Робина Никсона. Это просто руководство для начинающих, объясняющее основную концепцию хеширования паролей. Это не значит, что я применяю эту технику в реальном мире.
ИМО, если книга или учебник рекомендует такие вещи, вы отказываетесь от них и ищете лучший. Если вы учитесь, изучите хорошие практики.

DanMan3395 · Accepted Answer · 2018-04-10T17-38-00.000Z

По комментариям это правильное изменение:

if (isset($_POST['user_name'])    &&
    isset($_POST['user_pw']) &&
    isset($_POST['user_fname']) &&
    isset($_POST['user_lname']))
  {

    $username      = sanitizeString($_POST['user_name']);
    $userpw        = sanitizeString($_POST['user_pw']);
    $userfname     = sanitizeString($_POST['user_fname']);
    $userlname     = sanitizeString($_POST['user_lname']);
    $query    = "INSERT INTO users (user_name, user_pw, user_fname, user_lname) VALUES" .
      "('$username', '$token', '$userfname', '$userlname')";
         $result   = $conn->query($query);