funcion md5()

xrizaly · #1 (**permalink**) 01/06/2010, 12:25

hola a todos...
aki denuevo molestando xD necesito encriptar mi contraseña pero no se como hacerlo me dijero que utilizara esta funcion pero no se donde colocarla ni como usarla me podrian ayudar...

tomando en cuenta que la base de datos se le ingresa la contraseña manualmente

luego el se logea con la contraseña y la password entregada

esta es la funcion que tengo puesta pero no c si esta bien donde la tengo esta pocisionada en la pagina que recepciona al usuario y a la contraseña

Código HTML:

Ver original<script language="javascript" type="text/javascript">
function md5(){
$pass = md5 ($pass); 
echo $pass;
}
</script>

itachi_the_inmortal · #2 (**permalink**) 01/06/2010, 12:40

Hola... te comento esa funcion que te pasaron de md5 es una funcion que es en PHP y tu la estas metiendo en un javascript... si estas programando en php estaria bien que la pusieras dentro de tu código PHP...

Dunnow · #3 (**permalink**) 01/06/2010, 13:00

$_POST['password'];

echo "antes de la encriptacion = ".$_POST['password'];
$pass_encriptado = md5($_POST['password']);
echo "despues de la encriptacion = ".$pass_encriptado;

en tu base de datos debes guardar el password encriptado, luego, para desencriptarlo le pasas otra vez la funcion md5 y tienes la original (para comparar con el pass introducido desde un formulario)

ea, di si te funciona o no

spider_boy · #4 (**permalink**) 01/06/2010, 13:15

Sabiendo que md5 es una función nativa de php, puedes buscarla en su sitio web, donde encontrarás información acerca de esta : www.php.net/md5

xrizaly · #5 (**permalink**) 02/06/2010, 11:23

Cita:

Iniciado por Dunnow

$_POST['password'];

echo "antes de la encriptacion = ".$_POST['password'];
$pass_encriptado = md5($_POST['password']);
echo "despues de la encriptacion = ".$pass_encriptado;

en tu base de datos debes guardar el password encriptado, luego, para desencriptarlo le pasas otra vez la funcion md5 y tienes la original (para comparar con el pass introducido desde un formulario)

ea, di si te funciona o no

me salto una duda con respecto a esto mira ese corrida de numeros y letras que me entrega la tengo q almacenar en la base de datos pero cuando yo escriba mi contraseña cual es la que tengo q colocar???? la q me dio la funcion o la q me entrego el administrador de contraseñas....???

spider_boy · #6 (**permalink**) 02/06/2010, 13:11

La que tienes que escribir es la que te dio el administrador de contraseñas. Luego esta será codificada, para luego ser comparada con la que tienes en la BD.

xrizaly · #7 (**permalink**) 02/06/2010, 13:56

mmm la verda es que no entendi muxo la verdad es que eso ya tengo la pass la rescato pero luego no entendi

Sommy · #8 (**permalink**) 02/06/2010, 17:05

MD5 nacio para poner una firma digital a los software... asi uno chequeaba que el archivo que se descarga es el mismo del fabricante... si alguien le toca al menos un bit ya el MD5 cambia drasticamente... esto es llamado checksum.

Luego a alguien se le ocurrio encriptar claves con MD5, aunque el MD5 no es para esto y de ahi la inseguridad que conlleva (aunque es mejor que la contraseña pelada).

Que hace? Convierte cualquier texto de cualquier longitud a una cadena de 33 caracteres inentendible.

Para que se usa? Por si alguien (ya sea un hacker o un empleado del hosting) accede a la base de datos, que no entienda la contraseña.

Cual es la logica que no entendes?
vos tecleas una clave => el php la convierte a MD5 => el PHP compara tu clave en MD5 con la que esta en la base de datos...

Si vos tecleas tu clave en MD5 en el campo de contraseña, el PHP le aplica MD5 a ese MD5 y ya te da otra cosa, por eso por mas que alguien sepa tu clave en MD5 no le sirve de nada... o no le servia, hoy en dia con la ingenieria inversa y el uso de "raimbow tables" se puede hackear facilmente un MD5 corto y basico... como "admin", pero si usas "AdmiN54321@" es casi imposible romperlo con las pc actuales...

Lo que yo recomiendo es encriptar antes de enviarlo con JS, no usar la funcion nativa de PHP... Porque si te hacen sniffing la clave queda en el filtro sin encriptar antes de salir a la red.

Espero haberte aclarado y no haberte enliado.

xrizaly · #9 (**permalink**) 03/06/2010, 07:32

Cita:

Iniciado por spider_boy

La que tienes que escribir es la que te dio el administrador de contraseñas. Luego esta será codificada, para luego ser comparada con la que tienes en la BD.

... mira me funcion pero hasta la mitad nada mas ya q no me rescata la pass no se por q miren este es el codigo que le puse en la pagina de recepcion

Código PHP:

Ver original<? 
$_POST['pass'];
echo "antes de la encriptacion = ".$_POST['pass'];
$pass_encriptado = md5($_POST['pass']);
echo '<p></p>';
echo "despues de la encriptacion = ".$pass_encriptado;
?>

Sommy · #10 (**permalink**) 03/06/2010, 09:41

Ese coigo esta bien, pass encriptada deberia ser una cadena de 33 caracteres identica a la que tenes en la base de datos... chequeaste eso?

spider_boy · #11 (**permalink**) 03/06/2010, 09:42

Primero, para evitar cualquier problema al respecto, inicia todos tus php's con <?php, ya que si estás probando en un server de pago o gratuito, podrían tener desactivado los short tags.

Segundo, ¿estás seguro que el campo en tu formulario se llama pass? Hazle un var_dump() a la variable $_POST['pass'] para ver que tiene dentro.

También, asegúrate de no ingresar directamente a ese código, ya que en ese caso no existiría $_POST['pass'].

xrizaly · #12 (**permalink**) 04/06/2010, 06:23

Cita:

Iniciado por spider_boy

Primero, para evitar cualquier problema al respecto, inicia todos tus php's con <?php, ya que si estás probando en un server de pago o gratuito, podrían tener desactivado los short tags.

Segundo, ¿estás seguro que el campo en tu formulario se llama pass? Hazle un var_dump() a la variable $_POST['pass'] para ver que tiene dentro.

También, asegúrate de no ingresar directamente a ese código, ya que en ese caso no existiría $_POST['pass'].

la variable esta vacia no recepciona la pass y si este es el nombre del campo de la contraseña = 'pass'

puede ser por q en la pag anterior donde envio la contraseña tengo el siguiente codigo

Código PHP:

Ver original<?php require_once('../Connections/fich.php'); ?>
<?php
// *** Validate request to login to this site.
if (!isset($_SESSION)) {
  session_start();
}
 
$loginFormAction = $_SERVER['PHP_SELF'];
if (isset($_GET['accesscheck'])) {
  $_SESSION['PrevUrl'] = $_GET['accesscheck'];
}
 
if (isset($_POST['user'])) {
  $loginUsername=$_POST['user'];
  $password=$_POST['pass'];
  $MM_fldUserAuthorization = "NIVEL";
  $MM_redirectLoginSuccess = "buscar.php";
  $MM_redirectLoginFailed = "ing.php?error=Usuario o Password mal ingresados";
  $MM_redirecttoReferrer = false;
  mysql_select_db($database_fich, $fich);
  $LoginRS__query=sprintf("SELECT USER, PASSWORD, NIVEL FROM administracion WHERE USER='%s' AND PASSWORD='%s'",
  get_magic_quotes_gpc() ? $loginUsername : addslashes($loginUsername), get_magic_quotes_gpc() ? $password : addslashes($password));   
  $LoginRS = mysql_query($LoginRS__query, $fich) or die(mysql_error());
  $loginFoundUser = mysql_num_rows($LoginRS);
  if ($loginFoundUser) {
    $loginStrGroup  = mysql_result($LoginRS,0,'NIVEL');
    
    //declare two session variables and assign them
    $_SESSION['MM_Username'] = $loginUsername;
    $_SESSION['MM_UserGroup'] = $loginStrGroup;       
 
    if (isset($_SESSION['PrevUrl']) && false) {
      $MM_redirectLoginSuccess = $_SESSION['PrevUrl'];  
    }
    header("Location: " . $MM_redirectLoginSuccess );
  }
  else {
    header("Location: ". $MM_redirectLoginFailed );
    $error='Usuario o Password mal ingresados';
  }
}
?>

Sommy · #13 (**permalink**) 04/06/2010, 06:32

1)el campo pass esta dentro del tag form?
2)no tenes otro input llamado form mas adelante? Alguno tipo hidden que quede vacio?
3)Estas enviando los datos con metodo POST o GET?

Tenes el codigo del formulario? El problema parece venir de HTML

xrizaly · #14 (**permalink**) 04/06/2010, 07:21

Cita:

Iniciado por Sommy

1)el campo pass esta dentro del tag form?
2)no tenes otro input llamado form mas adelante? Alguno tipo hidden que quede vacio?
3)Estas enviando los datos con metodo POST o GET?

Tenes el codigo del formulario? El problema parece venir de HTML

este es el codigo del formulario!!!!

Código HTML:

Ver original<body>
<span class="botones"></span><span class="imputbox"></span>
<br>
<br><br>
<table width="250" border="1" cellspacing="0" cellpadding="0" align="center" bordercolor="#0099FF">
  <tr>
    <td>
      <table width=100% border=0 align="center" cellpadding="0" cellspacing="0" bordercolor="#009999" bgcolor="#FFFFFF">
        <form action="<?php echo $loginFormAction; ?>" method="POST" >
          <tr bgcolor="#0099FF"> 
            <td height="45" bgcolor="#052F56"> 
              <div align="center"><font face="Arial" color="#FFFFFF" size=2><b>Identificaci&oacute;n
                Usuarios<br>
              </b></font></div>            </td>
          </tr>
          <tr> 
            <td> 
              <div align="center"> 
                <table width="100%" border="0" cellspacing="0" cellpadding="5">
                  <tr valign="middle"> 
                    <td colspan="2" height="30"> 
                      <div align="center">                    </div>                    </td>
                  </tr>
                  <tr> 
                    <td width="39%"> 
                      <div align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="2"><span class="Estilo3">Usuario</span>                        : </font></div>                    </td>
                    <td width="61%"> 
                      <div align="left"> 
            <input name="user" type="text" class="imputbox" size="15">
                      </div>                    </td>
                  </tr>
                  <tr> 
                    <td width="39%"> <div align="right"><font face="Verdana, Arial, Helvetica, sans-serif" size="2"><span class="Estilo3">Password</span>                        : </font></div></td>
                    <td width="61%"> 
                      <div align="left"> 
                        <input name="pass" type="password" class="imputbox" size="15">
                      </div>                    </td>
                  </tr>
                </table>
              </div>            </td>
          </tr>
          <tr valign="middle"> 
            <td height="50"> 
              <div align="center"><font face="Arial" color=black size=2> 
                <input name=submit type=submit value="  Entrar  " class="botones" >
                </font></div>            </td>
          </tr>
        </form>
      </table>
    </td>
  </tr>
</table>
<table width="385" border="0" align="center" cellpadding="0" cellspacing="0">
  <tr>
    <td width="385" nowrap class="Estilo4" scope="row"><div align="center"><span class="Estilo4"><?php echo $_GET['error']; ?></span></div></td>
  </tr>
  <tr><td><div></div></td></tr>
  <tr><td><div></div></td></tr>
  <tr><td><div align="center" class="Estilo5"><a href="formato/Ficha_Validacion_Datos.pdf" target="_blank" class="Estilo4">Manual de Uso Ficha Validaci&oacute;n de Datos</a></div>
  </td>
  </tr>
</table>
<p align="center">&nbsp;</p>
</body>
</html>

Dunnow · #15 (**permalink**) 04/06/2010, 08:07

a ver no es TAN dificil...

un usuario entra a tu pagina y se registra con un formulario, este tiene user y pass

recives el user y le pasas la funcion add_slashes (o era parecida, buscala en la documentacin de PHP) para que no tenga codigo no deseado.

recibes el pass y le pasas la funcion md5

guardas el user y el pass a la DB

ahora en la DB tienes el nombre de usuario y una cadena rarisima de numeros y letras como password (el password debe CABER ENTERO en el campo de la base de datos)

ahora viene el usuario e intenta hacer login

te pone el nombre de usuario y el pass y de la a "hacer login"

tu recibes el user, y le pasas de nuevo la funcion add_slashes para que sea el mismo resultado que el que tienes guardado en la DB

tambien recibes el password, por lo que le pasas otra vez la funcion md5 y volverá a darte la misma cadena rara que tienes guardada en la base de datos (suponiendo que el password este bien escrito)

una vez tienes el user y el pass "normalizados y codificados" por asi decirlo, haces una select en tu base de datos

SELECT usuario, password FROM tabla_usuarios WHERE user='$user' AND password='$pass';

cual es el problema?

xrizaly · #16 (**permalink**) 04/06/2010, 08:12

el problema es que cuando en la pagina de recepcion no me almacena el pass entonces no medeja encriptar me envia el dato pero como vacio