Как лучше хранить(шифровать) секьюрные данные в базе?

@crumb · Регистрация: 11.12.2008

Студворк — интернет-сервис помощи студентам

сабдж собственно.
Если md5(), то как обратно разворачивать юзеру, в случае забывчивости или утери инфы....

@sl_play · 09.05.2010, 09:34

а зачем возвращать начальное значение, md5() к этому не приспособлена.
Делают так md5($password) занёс в базу. Делаешь поиск select * from clients where password=''.md5($password).''.

@crumb · 09.05.2010, 09:40 **[ТС]**

Возвращать необходимо в случае если юзер забыл например свой пароль! А возвратить нужно не мд5 хеш его пароля , а настоящий пароль, вот зачем...
Еще есть предложения ?

@pl · 09.05.2010, 11:07

Генерируй новый пароль и возращай его.

@crumb · 09.05.2010, 11:16 **[ТС]**

to pl:
Нельзя генерировать новые данные. 'Пароль' был взят для примера секюрных данных, кроме него будут и другие, которые никак нельзя хранить в открытом виде.

@sl_play · 09.05.2010, 11:32

не используй пароль как строку, бери его айди из базы и по нему сверяйся

@crumb · 09.05.2010, 11:37 **[ТС]**

to sl_play:
Мне нужно понять КАК хранить в базе 'секюрные данные', что б и надежно(ну или максимально надежно) защищены, и что б возвращать можно было.
ЗЫ: Ну ведь как то это реализуется ....

@crumb · 09.05.2010, 11:54 **[ТС]**

Глянул как реализуется это в форуме от phpBB2, так вот там пароли храняться в мд5(), при нажатии на ссылке 'забыли пароль', присылается письмо с линком на активацию смены пароля и соответственно новый пароль.
В принципе оптимальный вариант, и мд5(), который тяжело, хоть и возможно, взламать, и данные не открытые храняться ...

@mk.am · 10.05.2010, 13:10

при чем здесь пароли? человеку надо любую инфу хранить в зашифрованном виде, да так чтоб возвращать можно было...

@webbyte · 10.05.2010, 14:20

И как ты предлагаешь?

@crumb · 10.05.2010, 14:25 **[ТС]**

Получается, если с сайта можно запросить свои секюрные данные (например тот же пароль), значит они храняться в открытом виде !!!

@bazile · 10.05.2010, 15:33

2 crumb:
Из вопроса непонятно от кого или чего вы собиратесь защищать свои секретные данные.

Для паролей имеет смысл использовать вышеописанную схему с md5. Для других данных можно, например, использовать функции mySQL:
ENCODE(str,pass_str)
DECODE(crypt_str,pass_str)
AES_ENCRYPT(string,key_string)
AES_DECRYPT(string,key_string)
DES_ENCRYPT(string,key_string)
DES_DECRYPT(string,key_string)

> и мд5(), который тяжело, хоть и возможно, взламать
Сделайте это и слава (как минимум) вам обеспечена

md5 нельзя взломать

@webbyte · 10.05.2010, 15:42

2 bazile какой смысл криптовать иные данные, если ключ хранится на сервере?

@bazile · 10.05.2010, 15:48

Если нужно защитить данные от просмотра их администратором БД, который не знаком с PHP, то этот способ вполне подходит. К тому же пусть автор вопроса сам сначала объяснит зачем ему нужно шифровать данные БД.

@crumb · 10.05.2010, 15:58 **[ТС]**

В принципе может подойти вариант предложеный bazile, а ключ подальше запрятать

Шифровать данные нужно для:
1. Ести стянут базу или часть базы через веб, то чтоб ключевые важные поля без расшифровки были безполезны;
2. От человека типа администратора, у которого будет доступ к базе;
3. В идеале и от хостера...

@webbyte · 10.05.2010, 16:02

Ключ ты где думаешь хранить?????

@crumb · 10.05.2010, 17:42 **[ТС]**

to webbyte:
Ну во первых в папке недоступной из веб,
во вторых, хранить не полностью ключ, а допустим часть, а остальные генерить от чего-то постоянного на сервере (что б запутать типа

@webbyte · 11.05.2010, 04:31

Понимаешь, если злоумышленнику будет доступна MySQL, то наверняка и доступ к серверу у него будет

Поэтому ему до балды и первый твой вариант, и второй. Ключ он получит в любом случае

@crumb · 11.05.2010, 09:00 **[ТС]**

Ну, скажем, я пока только так вижу как можно максимально, по возможности конечно, обезопасить важную инфу.
Тем более злоумышленник злоумышленнику рознь

.
Может есть еще безумные идеи ?

@webbyte · 11.05.2010, 10:42

паранойя хороша в известных пределах. Если у тебя сайт по продаже атомных бомб, покупай выделенный сервер и ставь к нему охрану.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219

	Как лучше хранить(шифровать) секьюрные данные в базе? 09.05.2010, 08:47. Показов 4821. Ответов 23 Метки нет (Все метки) сабдж собственно. Если md5(), то как обратно разворачивать юзеру, в случае забывчивости или утери инфы.... 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	09.05.2010, 09:34
	а зачем возвращать начальное значение, md5() к этому не приспособлена. Делают так md5($password) занёс в базу. Делаешь поиск select * from clients where password=''.md5($password).''. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 09:40 [ТС]
	Возвращать необходимо в случае если юзер забыл например свой пароль! А возвратить нужно не мд5 хеш его пароля , а настоящий пароль, вот зачем... Еще есть предложения ? 0

@pl 51 / 17 / 6 Регистрация: 18.05.2007 Сообщений: 1,322
	09.05.2010, 11:07
	Генерируй новый пароль и возращай его. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:16 [ТС]
	to pl: Нельзя генерировать новые данные. 'Пароль' был взят для примера секюрных данных, кроме него будут и другие, которые никак нельзя хранить в открытом виде. 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	09.05.2010, 11:32
	не используй пароль как строку, бери его айди из базы и по нему сверяйся 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:37 [ТС]
	to sl_play: Мне нужно понять КАК хранить в базе 'секюрные данные', что б и надежно(ну или максимально надежно) защищены, и что б возвращать можно было. ЗЫ: Ну ведь как то это реализуется .... 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:54 [ТС]
	Глянул как реализуется это в форуме от phpBB2, так вот там пароли храняться в мд5(), при нажатии на ссылке 'забыли пароль', присылается письмо с линком на активацию смены пароля и соответственно новый пароль. В принципе оптимальный вариант, и мд5(), который тяжело, хоть и возможно, взламать, и данные не открытые храняться ... 0

@mk.am 0 / 0 / 0 Регистрация: 22.10.2009 Сообщений: 40
	10.05.2010, 13:10
	при чем здесь пароли? человеку надо любую инфу хранить в зашифрованном виде, да так чтоб возвращать можно было... 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 14:20
	И как ты предлагаешь? 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 14:25 [ТС]
	Получается, если с сайта можно запросить свои секюрные данные (например тот же пароль), значит они храняться в открытом виде !!! 0

@bazile 86 / 62 / 69 Регистрация: 15.03.2007 Сообщений: 6,903
	10.05.2010, 15:33
	2 crumb: Из вопроса непонятно от кого или чего вы собиратесь защищать свои секретные данные. Для паролей имеет смысл использовать вышеописанную схему с md5. Для других данных можно, например, использовать функции mySQL: ENCODE(str,pass_str) DECODE(crypt_str,pass_str) AES_ENCRYPT(string,key_string) AES_DECRYPT(string,key_string) DES_ENCRYPT(string,key_string) DES_DECRYPT(string,key_string) > и мд5(), который тяжело, хоть и возможно, взламать Сделайте это и слава (как минимум) вам обеспечена md5 нельзя взломать 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 15:42
	2 bazile какой смысл криптовать иные данные, если ключ хранится на сервере? 0

@bazile 86 / 62 / 69 Регистрация: 15.03.2007 Сообщений: 6,903
	10.05.2010, 15:48
	Если нужно защитить данные от просмотра их администратором БД, который не знаком с PHP, то этот способ вполне подходит. К тому же пусть автор вопроса сам сначала объяснит зачем ему нужно шифровать данные БД. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 15:58 [ТС]
	В принципе может подойти вариант предложеный bazile, а ключ подальше запрятать Шифровать данные нужно для: 1. Ести стянут базу или часть базы через веб, то чтоб ключевые важные поля без расшифровки были безполезны; 2. От человека типа администратора, у которого будет доступ к базе; 3. В идеале и от хостера... 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 16:02
	Ключ ты где думаешь хранить????? 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 17:42 [ТС]
	to webbyte: Ну во первых в папке недоступной из веб, во вторых, хранить не полностью ключ, а допустим часть, а остальные генерить от чего-то постоянного на сервере (что б запутать типа 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	11.05.2010, 04:31
	Понимаешь, если злоумышленнику будет доступна MySQL, то наверняка и доступ к серверу у него будет Поэтому ему до балды и первый твой вариант, и второй. Ключ он получит в любом случае 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	11.05.2010, 09:00 [ТС]
	Ну, скажем, я пока только так вижу как можно максимально, по возможности конечно, обезопасить важную инфу. Тем более злоумышленник злоумышленнику рознь . Может есть еще безумные идеи ? 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	11.05.2010, 10:42
	паранойя хороша в известных пределах. Если у тебя сайт по продаже атомных бомб, покупай выделенный сервер и ставь к нему охрану. 0