Hola:
Solo me voy a centrar en esta parte:
Código PHP:
Ver original// Begin Insertion of data into the database
// Hash the password and apply your own mysterious unique salt
include_once ("php_includes/randStrGen.php");
$p_hash = randStrGen(20)."$cryptpass".randStrGen(20);
// Add user info into the database table for the main site table
$sql = "INSERT INTO users (username, email, password, gender, country, ip, signup, lastlogin, notescheck)
VALUES('$u','$e','$p_hash','$g','$c','$ip',now(),n ow(),now())";
Voy a suponer q la función
crypt ( p )
haya el hash de p
y q la función
randStrGen( N )
devuelve una cadena aleatoria (salt) de tamaño N.
Para saber q tan seguras son estas funciones es necesario ver su implementación.
Pero la forma en q las estás usando es incorrecta.
El salt se le aplica al password ANTES de hashearlo.
El salt SE GUARDA en la base de datos junto con el password ya hasheado.
Para realizar la autenticación haces el mismo proceso con el password q te envía el usuario:
aplicas el mismo salt (el q esta en la bse de datos para ese usuario)
aplicas crypt
comparas el resultado con el password hasheado q esta en la base de datos
si son iguales: Autenticado
slds;
nup_