[SOLUCIONADO] Encriptar contraseña y comparar para login

Mati92_CPArg · #1 (**permalink**) 26/11/2013, 19:16

Buenas, quería ver si alguien podría darme una mano.

Lo que estoy haciendo es un sistema de registro y logueo de usuario, el tema es la encriptacion de la clave.

En el Registro utilice este codigo para encriptar la clave:

Código:

function encriptar($contrasena, $numero = 7){
    $salt = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz./';
    $saltc = sprintf('$2y$%02d$', $numero);
    for($i = 0; $i < 22; $i++)
        $saltc .= $salt[ rand(0, strlen($salt)-1) ];
     
    return crypt($contrasena, $saltc);
}
	
	$contrasena = encriptar('$contrasena');

Guardo la contraseña en la base de datos.

Ahora como comparo esa clave guardada con la que coloca el usuario para loguearse luego.

En el logueo el codigo es asi:

Código:

$usuario=$_POST['usuario'];
$contrasena=$_POST['contrasena'];	

$sql="SELECT * FROM tabla WHERE usuario='$usuario'";
	$resultado=mysqli_query($conexion, $sql) or die (mysqli_error());
		if(mysqli_num_rows($resultado)>0){	
			$registro=mysqli_fetch_assoc($resultado);
			$contrasenaencriptada=$registro['contrasena'];
			if(crypt($contrasena, $contrasenaencriptada) == $contrasenaencriptada){
				 echo "Conexion Exitosa";
				$_SESSION['usuario']=$usuario;
				$_SESSION['login_ok']=1;	
			}
			else{
				echo "ERROR";
			}

				 

		}else{
			echo "Error de Conexion, compruebe su usuario y contraseña";
		}

Algo estoy haciendo mal? Desde ya gracias. Y la clave se guarda en la base de datos encriptada o eso parece.

AlanChavez · #2 (**permalink**) 26/11/2013, 19:30

el problema es que estas comparando peras con manzanas.

Tienes una funciona "encripta" que genera un "salt" aleatorio para "encriptar", por lo tanto, sin saber que salt utilizaste, va a estar muy dificil que generes un hash identico.

Ahora, como dato adicional. No confundas una cadena encriptada, con un hash.

Una contraseña encriptada, se puede revertir.
Una contraseña "hasheada" (no se el termino en español), no se puede revertir.

tu estas utilizando hashes, no estas encriptando.

Mati92_CPArg · #3 (**permalink**) 26/11/2013, 20:46

Hice unos cambios en el codigo y funciona. Pero quisiera saber si es seguro y esta bien.
Al registrarse:

Código:

	// Encriptamos contraseña

    $salt = '1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz./';
    $saltc = sprintf('$2y$%02d$', 7);
    for($i = 0; $i < 22; $i++)
        $saltc .= $salt[ rand(0, strlen($salt)-1) ];
     $salt_contrasena=$saltc;
    $contrasena=crypt($contrasena, $saltc);

Al iniciar Session:

Código:

$usuario=$_POST['usuario'];
$contrasena=$_POST['contrasena'];	

$sql="SELECT * FROM tabla WHERE usuario='$usuario'";
	$resultado=mysqli_query($conexion, $sql) or die (mysqli_error());
		if(mysqli_num_rows($resultado)>0){	
			$registro=mysqli_fetch_assoc($resultado);
			$contrasenaDB=$registro['contrasena'];
			$salt_contrasenaDB=$registro['salt_contrasena'];
			
			
			if(crypt($contrasena, $salt_contrasenaDB) == $contrasenaDB){
				 echo "Conexion Exitosa";
				$_SESSION['usuario']=$usuario;
				$_SESSION['login_ok']=1;	
			}
			else{
				echo "ERROR";
			}

				 

		}else{
			echo "Error de Conexion, compruebe su usuario y contraseña";
		}

Desde ya gracias

marlanga · #4 (**permalink**) 27/11/2013, 03:27

Si aciertas el usuario pero fallas la contraseña, das un error diferente al de si fallas el nombre de usuario. Haz que ambos devuelvan exactamente la misma página de error, o el login servirá para saber si un usuario existe.

AlanChavez · #5 (**permalink**) 27/11/2013, 07:40

Con respecto a si es seguro, al contraseña en si, puedes considerarla segura. El problema con tu codigo, es que estas utilizando un API deprecada y que tu codigo es vulnerable a inyeccion de SQL.

Con respecto a la API deprecada, no utilizes las funciones mysql_ ya que estas no soportan consultas parametrizadas que son las que evitan la inyeccion de SQL.

Si utilizaras las API de mysqli o de PDO junto con consultas parametrizadas, eliminarias tu riesgo de inyeccion de SQL.

Las consultas parametrizadas, envian la consulta y los parametros por separado, lo que obliga a MySQL a interpretar el SQL original primero, y posteriormente aplicar los parametros.

Por ejemplo tu escribes:

SELECT * FROM tabla WHERE usuario='$usuario'

Sin parametrizar tu consulta, yo puedo cambiar el valor de $usuario a:

alanchavez' OR 1 = 1 --

por lo que tu consulta se convierte en

SELECT * FROM tabla WHERE usuario = 'alanchavez' OR 1 = 1

Si bien no puedo ver todos los usuarios en tu sistema, si puedo utilizar un ataque basado en tiempo para adivinarlos, por lo que tu sistema automaticamente es vulnerable a inyeccion de SQL.