encriptacion de contraseñas md5

summerblack · #1 (**permalink**) 09/05/2013, 08:53

Hola chicos una pregunta, resulta que quisiera encriptar la contraseña de un sistema de login md5 tengo el siguiente codigo en mi login.php

Código PHP:

Ver original<?php
 
session_start();
 
include_once("conexionmysql.php"); 
 
 
$sql= new Mysql; //creamos conexion a la bd
$sql->connect();
$query="SELECT * FROM registros 
                      WHERE login = ('" .$sql->real_escape_string($_POST['usuario']) . "') 
                      and pass =('" .$sql->real_escape_string(($_POST['password'])) . "');";
$login = $sql->query($query);       
while($row = $sql->f_array($login)){ 
 
    if(($row['login']) == $_POST['usuario'])
    {
        $_SESSION['usuario'] = $_POST['usuario'];   
        header('Location:logueado.php');    
    }
} 
else {
header('Location:Inicio.php');
}
?>

pero quisiera enciptar el password por seguridad, vi un ejemplo que decia que en la linea sql pusiera algo como:

Código PHP:

Ver originaland pass =('" .$sql->real_escape_string(md5($_POST['password'])) . "');";

el problema es que si hago eso estoy ingresnado parametros ya codificados y por esta razon no me compara porque ya esta ingresando algo como

and pass =('hdsdkksj342sdjfhsd4n3j4jh')

alguna idea de como pueda hacer mi login mas seguro? muchas gracias

pr0 · #2 (**permalink**) 09/05/2013, 08:55

Hmm... bueno va te contesto jajaja

¿Que tal si la contraseña del formulario la encriptas también en MD5 y entonces comparas con la de la base de datos?

newboy_master · #3 (**permalink**) 09/05/2013, 09:01

Exacto, tienes que encriptar la clave recibida del formulario al hacer login y comparar con la que corresponde en la base de datos. Personalmente no recomiendo usar md5 sin salto ya que hay sitios webs con millones de contraseñas en texto plano de ese algoritmo.

Si piensas usarlo añade un salto o algún añadido de seguridad. Por ejemplo:

$pass = md5(strrev("Secreta".$clave));

De esa forma si alguien consigue acceso a las claves, lo tendrá bastante complicado si quiere suplantar a algún usuario o cliente de tu web.

Salu2.

geofran80 · #4 (**permalink**) 09/05/2013, 09:46

No sé si estoy en lo cierto, pero teniendo constancia de que hay webs donde los textos encriptados con MD5 se pueden desencriptar, ¿porqué no acudimos a algoritmos más avanzados, o a incluírles validaciones propias en una capa intermedia entre la VISTA y la BASE DE DATOS? Tal como podría ser una clave pública y otra privada al estilo Certificado Digital.

Saludos cordiales.
Francisco J.

summerblack · #5 (**permalink**) 09/05/2013, 10:12

bueno muchas gracias a todos he optado por usar el salto, y me parece muy buena idea lo de clave pública y otra privada al estilo Certificado Digital, se que lo voy a necesitar tambien aunque no conozco mucho del tema, muchas gracias.

geofran80 · #6 (**permalink**) 09/05/2013, 10:28

Hola amigo, aquí tienes algo de información espero te sirva:

http://www.forosdelweb.com/f18/encri...etrica-850363/

http://elblogdepablot.wordpress.com/...itales-en-php/

http://www.php.net/manual/es/refs.crypto.php

Saludos cordiales.
Francisco J.