Cadastrar senha em md5 ou sha1

[flaviasam 2]

Oi. no cadastro que tenho, eu cadastro as senhas no formato normal. então sem codificação alguma, por um lado me facilita, pois uso o recuperar senha, mas acho muito vulnerável. Como faço para cadastrar em md5 ou sha1? Seria o mesmo procedimento para ambos também?

 

No inserir ele está assim:

 

$_POST[form_login]','$_POST[form_senha]'

 

Já na edição ele está assim:

 

login='$_POST[form_login]',senha='$_POST[form_senha]'

 

Depois terei de fazer um redefinir senha, já que o recuperar não terá mais como ser usado trocando para md5 ou sha1

 

[Marcos Xavier 189]

Utilize as funções abaixo, são muito mais seguras.

http://php.net/manual/pt_BR/function.password-hash.php

http://php.net/manual/pt_BR/function.password-verify.php

[flaviasam 2]

Se possível alguém puder me ajudar no exemplo que citei eu agradeço.

[Beraldo 864]

É só gerar o hash ao salvar no banco.

Na hora do login, gere o hash da senha digitada e o compare com o hash do banco

 

Mais detalhes neste artigo:

http://blog.ultimatephp.com.br/sistema-de-login-php/

[flaviasam 2]

Ok, já me disseram em outro fórum como gravar em md5. Responderam o que eu precisava simplesmente.

[BlackMix 15]

Ah isso é bem simples, e outra md5 não é seguro, qualquer programa besta vai conseguir quebrar suas senhas..

 

E que forma de programar é essa?

login='$_POST[form_login]',senha='$_POST[form_senha]'

Desculpa pela forma de falar mas seria bom você ler o que Beraldo te mandou lá no link, eu aprendi muito com ele.

 

Nós queremos te passar a melhor forma possível do php..

Depois de você ler e comparar o que está fazendo vai ver que melhorar a segurança de seu

sistema vale muito a pena, isso por que ainda não teve a sorte de algum engraçado tentar algo nele.

 

Existe funções prontas que usar uma key para gerar a senha com encrypt única do seu sistema..

 

Qualquer coisa eu te mando a função por PM. marque o tópico como resolvido :)

[flaviasam 2]

Primeiro, esse cadastro que tenho vai ser trocado, então vai ficar como backup por uns tempos. Ele já está depreciado e não há interesse de fazer grandes melhorias nele. Então mudar todo o sistema que já vai ficar em desuso não da. Pedi uma coisa. Infelizmente aqui você pedi uma coisa e te mandam coisas que não estão nas suas necessidades..

 

Vale a dica sempre, mas sempre tem que focar na necessidade que a pessoa precisa. Estou precisando de algo mínimo para algo que não quero fazer mudanças maiores, me dão dicas para eu alterar várias coisas e o que pedi é deixado de lado. Aí nem adianta fórum para se ajudar.

[Helmesvs 10]

Primeiro, esse cadastro que tenho vai ser trocado, então vai ficar como backup por uns tempos. Ele já está depreciado e não há interesse de fazer grandes melhorias nele. Então mudar todo o sistema que já vai ficar em desuso não da. Pedi uma coisa. Infelizmente aqui você pedi uma coisa e te mandam coisas que não estão nas suas necessidades..

 

Vale a dica sempre, mas sempre tem que focar na necessidade que a pessoa precisa. Estou precisando de algo mínimo para algo que não quero fazer mudanças maiores, me dão dicas para eu alterar várias coisas e o que pedi é deixado de lado. Aí nem adianta fórum para se ajudar.

require_once 'conexao-pdo.php';
                $sql = "INSERT INTO `usuarios` (`usuario`, `senha`, `nivel`) VALUES (:usuario, :senha, :nivel)";
                $stmt = $PDO->prepare($sql);
                $stmt->bindParam(':usuario', $_POST['login']);
                $stmt->bindParam(':senha', SHA1($senha));
                $stmt->bindParam(':nivel', $_POST['nivel']);

                $result = $stmt->execute();
                if (!$result) {
                    var_dump($stmt->errorInfo());
                    exit;
                }
Acho que é isso que vc quer. SO mudar os campos

[flaviasam 2]

Obrigada, mas já consegui a solução intermediária, e em PDO não ia me adiantar de nada. A solução tinha de ser dentro do que mostrei.

[flaviasam 2]

Apenas uma dúvida agora. O que adianta se criptografar uma senha, se caso o hacker ou pessoa com mais habilidade tiver acesso aos seus dados no banco?

 

Se codificar. Em um exemplo, se a pessoa cadastra uma senha simples. admin

Senha admin, e codificada no md5 por exemplo seria 21232f297a57a5a743894a0e4a801fc3

 

Se a pessoa adivinhar a senha, de nada adianta codificação seja ela em md5, sha1 ou esse hash.

 

Por outro lado se ele não adivinha a senha ou não descobre a senha, e ele visualiza essa senha no banco, ele simplesmente pega a senha codificada no banco e joga no campo de senha no login. Ele entra da mesma forma. E pra que ele vai querer descodificar essa senha se ela codificada já é a própria senha que ele faz o que quer?

 

Só me expliquem isso quem souber

[Beraldo 864]

Primeiramente, o link que te passei mostra exatamente como salvar um hash. É um artigo completo sobre Sistema De Login, que, dentre outras coisas, responde 100% à sua dúvida.

Em nenhum momento mostrei algo fora da sua pergunta. Você que não quis ler o artigo. São coisas diferentes.

 

 

Sobre sua última dúvida, o hash de um hash é um valor totalmente diferente. Ou seja, se um hacker sabe o hash da senha, se ele digitar esse hash no login, será gerado outro hash, que resultará em senha inválida.

Veja:

 

php > $password = 'Wjd7c$';
php > echo md5($password);
0a482eae67403ffc6bdcb0a576ecc4e7
php > echo md5('0a482eae67403ffc6bdcb0a576ecc4e7');
ed1142e01d8b93cc70edc47bc8891231

 

A senha "Wjd7c$" gera o hash "0a482eae67403ffc6bdcb0a576ecc4e7". O hash disso (que equivale a digitar esse valor no campo senha) gera o hash "ed1142e01d8b93cc70edc47bc8891231"

 

E outra: se um hacker acessa seu banco, não há motivos para ele querer fazer login. Acessar o banco significa acessar 100% do seu sistema, somente por que não está "bonitinho na tela". Por isso Segurança é tão importante.

[flaviasam 2]

Então na verdade essas codificações não adiantam de nada. Pois se a pessoa coloca uma senha fácil, de nada adianta, pois a codificação vai apenas a mascarar no banco, coisa que o hacker pode ter mais dificuldade de acessar,

 

Não entendo bem está parte, mas acaba que acho mais seguro que qualquer tipo de codificação dessas, aumentar o nível no login. Ao invez de codificação, colocar mais coisas. não só login e senha, mas ter um painel com login, senha e outro dado qualquer. Acho que isso aumenta muito mais a segurança que codificações que mascaram aonde a pessoa não ve mesmo. E a pessoa vai nas tentativas de senhas fáceis.

[flaviasam 2]

Consegui gravar perfeitamente a senha md5 no banco, porém creio que tenho de na hora de se logar fazer essa verificação no painel de logiin.

 

Ele está como abaixo.

 

 

<?
include "../config.php";
if ($_GET[acao] == "sair") {
unset($_SESSION['cliente']);
unset($_SESSION['id_cliente']);
echo "<script>window.location='index.php';</script>";
}
$sql = mysql_query("SELECT * FROM clientes WHERE login='$_POST[login]' AND senha='$_POST[senha]' AND ativo");
if (!@mysql_result($sql,0,cliente)) {
echo "<script>window.location='index.php?erro=sim';</script>";
} else {
$_SESSION['cliente'] = mysql_result($sql,0,cliente);
$_SESSION['id_cliente'] = mysql_result($sql,0,id_cliente);
echo "<script>window.location='index.php';</script>";
}
mysql_close();
?>

[Beraldo 864]

Senhas fáceis são facilmente quebradas. Isso é fato e independe de hash ou criptografia. Um simples brute force faz isso, mesmo sem acesos ao banco.

Por isso é recomendável forçar o usuário a inserir senhas com 8 ou mais caracteres, com letras e números.

 

Acesso a um banco com senhas em hash é muito menos prejudicial que acesso a um banco com senhas em plain text. Quebrar um hash só é possível com brute-force. Ou seja, se forem hashes de senhas complexas, há poucas chances de que eles sejam quebrados.

 

Em suma, a Segurança depende de você e do usuário também.

 

Sobre esse "algo mais" que comentou, um simples salt muda totalmente o hash.

Veja

 

php > echo md5('123');
202cb962ac59075b964b07152d234b70
php > echo md5('123' . '8uha93');
14925075e7d7f2df20ee429899efcccf

 

O "8uha93" muda o hash e torna o brute-force mais complexo.

Falo sobre isso neste artigo: http://rberaldo.com.br/seguranca-em-sistemas-de-login-senhas-e-cookies/

[flaviasam 2]

Então, li sobre tudo para entender um pouco. Consegui fazer a inserção no banco em md5, fiz uma mudança na página de login, e com isso também resolvido me logar a senha estando em md5.

 

Mas no update não consigo gravar a senha em md5, tentei várias formas e nada. Meu update está assim.

if ($_POST[Alterar] == "ok") {
mysql_query("UPDATE clientes SET cliente='$_POST[cliente]',nome='$_POST[nome]',email='$_POST',telefone='$_POST[telefone]',celular='$_POST[celular]',sexo='$_POST[sexo]'cpf='$_POST[cpf]',login='$_POST[login]',senha='$_POST[senha]',obs='$_POST[obs]',ativo='$_POST[ativo]' WHERE id_cliente=$_POST[id]");

[Beraldo 864]

Faça debug das suas consultas.

Use mysql_error(). Issi é mostrado neste tópico

 

Um erro é este:

 

'$_POST[sexo]'cpf

 

Faltou uma vírgula antes de "cpf"

 

 

E seu código está vulnerável a SQL Injection. Nunca insira um dado externo diretamente em uma query.

Veja mais aqui: http://rberaldo.com.br/seguranca-em-sistemas-de-login-protecao-contra-sql-injection/

[BlackMix 15]

if ($_POST[Alterar] == "ok") {
    mysql_query("UPDATE clientes SET cliente='$_POST[cliente]',nome='$_POST[nome]',email='$_POST[email]',telefone='$_POST[telefone]',celular='$_POST[celular]',sexo='$_POST[sexo]',cpf='$_POST[cpf]',login='$_POST[login]',senha='md5($_POST[senha])',obs='$_POST[obs]',ativo='$_POST[ativo]' WHERE id_cliente=$_POST[id]");

faltou o md5()

 

Beraldo como ela já disse, ela não quer modificar o sistema dela.. ela já sabe as consequências..

[flaviasam 2]

Beraldo, esse vírgula errei quando postei aqui e fui ajustar, no sistema está tudo ok.

 

BlackMix, isso já tentei com o md5 ali, mas ele continua a gravar normal sem criptografar. O problema está sendo justamente esse, no Update não grava criptografado, no insert fiz normalmente. Colocar o md5 ali não adianta de nada.

[BlackMix 15]

tente assim

if ($_POST[Alterar] == "ok") {

$newpass = md5($_POST['senha']);


mysql_query("UPDATE clientes SET 
cliente='$_POST[cliente]',
nome='$_POST[nome]',
email='$_POST[email]',
telefone='$_POST[telefone]',
celular='$_POST[celular]',
sexo='$_POST[sexo]',
cpf='$_POST[cpf]',
login='$_POST[login]',
senha='$newpass',
obs='$_POST[obs]',
ativo='$_POST[ativo]' 
WHERE 
id_cliente=$_POST[id]");

[flaviasam 2]

 

tente assim

if ($_POST[Alterar] == "ok") {

$newpass = md5($_POST['senha']);


mysql_query("UPDATE clientes SET 
cliente='$_POST[cliente]',
nome='$_POST[nome]',
email='$_POST[email]',
telefone='$_POST[telefone]',
celular='$_POST[celular]',
sexo='$_POST[sexo]',
cpf='$_POST[cpf]',
login='$_POST[login]',
senha='$newpass',
obs='$_POST[obs]',
ativo='$_POST[ativo]' 
WHERE 
id_cliente=$_POST[id]");

Perfeito, assim funcionou. Eu só estava conseguindo fazer no insert, talvez pelo tratamento, mas com o update não ia de jeito nenhum.

 

Mas agora tentei entrar para testar e não consigo. o login dele é este.

 

 

<?

include "../config.php";

if ($_GET[acao] == "sair") {

unset($_SESSION['cliente']);

unset($_SESSION['id_cliente']);

echo "<script>window.location='index.php';</script>";

}

$sql = mysql_query("SELECT * FROM clientes WHERE login='$_POST[login]' AND senha='$_POST[senha]' AND ativo");

if (!@mysql_result($sql,0,cliente)) {

echo "<script>window.location='index.php?erro=sim';</script>";

} else {

$_SESSION['cliente'] = mysql_result($sql,0,cliente);

$_SESSION['id_cliente'] = mysql_result($sql,0,id_cliente);

echo "<script>window.location='index.php';</script>";

}

mysql_close();

?>

 

Alterei para isso.

 

<?

include "../config.php";

if ($_GET[acao] == "sair") {

unset($_SESSION['cliente']);

unset($_SESSION['id_cliente']);

$senha = md5($_POST['senha']);

echo "<script>window.location='index.php';</script>";

}

$sql = mysql_query("SELECT * FROM clientes WHERE login = '$login' AND senha = '$senha' AND ativo");

if (!@mysql_result($sql,0,cliente)) {

echo "<script>window.location='index.php?erro=sim';</script>";

} else {

$_SESSION['cliente'] = mysql_result($sql,0,cliente);

$_SESSION['id_cliente'] = mysql_result($sql,0,id_cliente);

echo "<script>window.location='index.php';</script>";

}

mysql_close();

?>

 

Mas não está entrando. Quando acerto algo outra da errado.

 

Mas está gravando certinho da forma que você explicou