Sistema de login incrementando base64

[Henrique Buzin 1]

Olá incrementando base 64 no meu sistema de cadastro funciono agora que fazer com que o login funcione coloquei isso no código:

<body>

<?php

$email = $_POST['email'];

$senha = $_POST['senha'];

$original = base64_decode('$senha');

$correto = $original;

$sql = mysql_query("SELECT * FROM usuarios WHERE email = '$email' and senha = '$senha'") or die(mysql_error());

$row = mysql_num_rows($sql);

if($row > 0) {

session_start();

$_SESSION['email'] = $_POST['email'];

$_SESSION['senha'] = $correto;

echo "<center>Voce foi autenticado com sucesso! Aguarde um momento...</center>";

echo "<script>loginsuccessfully()</script>";

} else {

echo "<center>Nome de usuario ou senha invalidos! Aguarde um momento para testar novamente.</center>";

echo "<script>loginfailed()</script>";

}

?>

</body>

o codigo que funciona e o seguinte

<body>

<?php

$email=$_POST['email'];

$senha=$_POST['senha'];

$sql = mysql_query("SELECT * FROM usuarios WHERE email = '$email' and senha = '$senha'") or die(mysql_error());

$row = mysql_num_rows($sql);

if($row > 0) {

session_start();

$_SESSION['email']=$_POST['email'];

$_SESSION['senha']=$_POST['senha'];

echo "<center>Voce foi autenticado com sucesso! Aguarde um momento...</center>";

echo "<script>loginsuccessfully()</script>";

} else {

echo "<center>Nome de usuario ou senha invalidos! Aguarde um momento para testar novamente.</center>";

echo "<script>loginfailed()</script>";

}

?>

</body>

so que neste quando coloco ele pega a senha criptografada que e diferente e da senha errada muito obrigado!

 

[Enrico Pereira 299]

base64 pode ser descriptografada, ou seja, não é segura.

 

O mais indicado é que você use bcrypt, veja se lhe ajuda: http://blog.thiagobelem.net/criptografando-senhas-no-php-usando-bcrypt-blowfish/

[Micilini Roll 49]

bcrypt ainda nao é suficiente! se quer uma criptografia mais avançada use PHPASS

e primeira coisa:

 

 

Nunca sete sessions ou cookies com nome de usuario e senha!

esqueça o mysql e vá para PDO!

qualquer duvida retorne ao topico que lhe explicarei detalhadamente!

[Henrique Buzin 1]

ok muito obrigado vou mudar meu sistema para esses mas algumas primeiras dúvida terei que mudar tudo tipo query... ou e so o banco mesmo?

como funciona esse phpass tem algum link para poder ver-lo?

Muito Obrigado!

[Enrico Pereira 299]

Não é bem assim, o PHPass é apenas uma biblioteca que oferece uma API orientada a objeto para senhas que facilita o uso.

 

Henrique, o mysql no caso é o driver mysql_*, o problema dele é que ele está obsoleto a partir da atual versão do PHP (5.5.0).

 

PHPASS => https://github.com/rchouinard/phpass

[Henrique Buzin 1]

O que vc quiz dizer com setar session ou cookies?

Como arrumo isso?

Valeu!

OK entao bcrypt é melhor que phpass?

Valeu!

[Enrico Pereira 299]

O PHPASS é apenas uma biblioteca que oferece uma interface "bonitinha" para encriptar. O Bcrypt é um algorítimo de encriptação.

 

É uma escolha sua. Eu, pessoalmente, não acho que muda a segurança em nada usando o PHPASS.

[Henrique Buzin 1]

ok entao vou usar bcrypt e passarei para pdo mas o pdo muda tudo tipo querys e tal ou so a forma de conexao e o que ele quis dizer com setar session ou cookies?

Valeu!

[Enrico Pereira 299]

Muda a forma de usar, é outra API. Não muda o banco, as queries, etc.

 

Veja a PDO => http://www.php.net/manual/pt_BR/book.pdo.php

[Henrique Buzin 1]

Ok valeu vou fazer o bcrypt e pdo para ficar mais seguro qualquer dúvida pergunto aqui no site valeu cara!

e o que ele quis dizer com setar session

[Enrico Pereira 299]

Eu não entendi nada da parte de session, só ele pode explicar o que disse.

[Henrique Buzin 1]

ok valeu falo