Как лучше хранить(шифровать) секьюрные данные в базе?

@crumb · Регистрация: 11.12.2008

Студворк — интернет-сервис помощи студентам

сабдж собственно.
Если md5(), то как обратно разворачивать юзеру, в случае забывчивости или утери инфы....

@sl_play · 09.05.2010, 09:34

а зачем возвращать начальное значение, md5() к этому не приспособлена.
Делают так md5($password) занёс в базу. Делаешь поиск select * from clients where password=''.md5($password).''.

@crumb · 09.05.2010, 09:40 **[ТС]**

Возвращать необходимо в случае если юзер забыл например свой пароль! А возвратить нужно не мд5 хеш его пароля , а настоящий пароль, вот зачем...
Еще есть предложения ?

@pl · 09.05.2010, 11:07

Генерируй новый пароль и возращай его.

@crumb · 09.05.2010, 11:16 **[ТС]**

to pl:
Нельзя генерировать новые данные. 'Пароль' был взят для примера секюрных данных, кроме него будут и другие, которые никак нельзя хранить в открытом виде.

@sl_play · 09.05.2010, 11:32

не используй пароль как строку, бери его айди из базы и по нему сверяйся

@crumb · 09.05.2010, 11:37 **[ТС]**

to sl_play:
Мне нужно понять КАК хранить в базе 'секюрные данные', что б и надежно(ну или максимально надежно) защищены, и что б возвращать можно было.
ЗЫ: Ну ведь как то это реализуется ....

@crumb · 09.05.2010, 11:54 **[ТС]**

Глянул как реализуется это в форуме от phpBB2, так вот там пароли храняться в мд5(), при нажатии на ссылке 'забыли пароль', присылается письмо с линком на активацию смены пароля и соответственно новый пароль.
В принципе оптимальный вариант, и мд5(), который тяжело, хоть и возможно, взламать, и данные не открытые храняться ...

@mk.am · 10.05.2010, 13:10

при чем здесь пароли? человеку надо любую инфу хранить в зашифрованном виде, да так чтоб возвращать можно было...

@webbyte · 10.05.2010, 14:20

И как ты предлагаешь?

@crumb · 10.05.2010, 14:25 **[ТС]**

Получается, если с сайта можно запросить свои секюрные данные (например тот же пароль), значит они храняться в открытом виде !!!

@bazile · 10.05.2010, 15:33

2 crumb:
Из вопроса непонятно от кого или чего вы собиратесь защищать свои секретные данные.

Для паролей имеет смысл использовать вышеописанную схему с md5. Для других данных можно, например, использовать функции mySQL:
ENCODE(str,pass_str)
DECODE(crypt_str,pass_str)
AES_ENCRYPT(string,key_string)
AES_DECRYPT(string,key_string)
DES_ENCRYPT(string,key_string)
DES_DECRYPT(string,key_string)

> и мд5(), который тяжело, хоть и возможно, взламать
Сделайте это и слава (как минимум) вам обеспечена

md5 нельзя взломать

@webbyte · 10.05.2010, 15:42

2 bazile какой смысл криптовать иные данные, если ключ хранится на сервере?

@bazile · 10.05.2010, 15:48

Если нужно защитить данные от просмотра их администратором БД, который не знаком с PHP, то этот способ вполне подходит. К тому же пусть автор вопроса сам сначала объяснит зачем ему нужно шифровать данные БД.

@crumb · 10.05.2010, 15:58 **[ТС]**

В принципе может подойти вариант предложеный bazile, а ключ подальше запрятать

Шифровать данные нужно для:
1. Ести стянут базу или часть базы через веб, то чтоб ключевые важные поля без расшифровки были безполезны;
2. От человека типа администратора, у которого будет доступ к базе;
3. В идеале и от хостера...

@webbyte · 10.05.2010, 16:02

Ключ ты где думаешь хранить?????

@crumb · 10.05.2010, 17:42 **[ТС]**

to webbyte:
Ну во первых в папке недоступной из веб,
во вторых, хранить не полностью ключ, а допустим часть, а остальные генерить от чего-то постоянного на сервере (что б запутать типа

@webbyte · 11.05.2010, 04:31

Понимаешь, если злоумышленнику будет доступна MySQL, то наверняка и доступ к серверу у него будет

Поэтому ему до балды и первый твой вариант, и второй. Ключ он получит в любом случае

@crumb · 11.05.2010, 09:00 **[ТС]**

Ну, скажем, я пока только так вижу как можно максимально, по возможности конечно, обезопасить важную инфу.
Тем более злоумышленник злоумышленнику рознь

.
Может есть еще безумные идеи ?

@webbyte · 11.05.2010, 10:42

паранойя хороша в известных пределах. Если у тебя сайт по продаже атомных бомб, покупай выделенный сервер и ставь к нему охрану.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219

	Как лучше хранить(шифровать) секьюрные данные в базе? 09.05.2010, 08:47. Показов 4903. Ответов 23 Метки нет (Все метки) сабдж собственно. Если md5(), то как обратно разворачивать юзеру, в случае забывчивости или утери инфы.... 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	09.05.2010, 09:34
	а зачем возвращать начальное значение, md5() к этому не приспособлена. Делают так md5($password) занёс в базу. Делаешь поиск select * from clients where password=''.md5($password).''. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 09:40 [ТС]
	Возвращать необходимо в случае если юзер забыл например свой пароль! А возвратить нужно не мд5 хеш его пароля , а настоящий пароль, вот зачем... Еще есть предложения ? 0

@pl 51 / 17 / 6 Регистрация: 18.05.2007 Сообщений: 1,322
	09.05.2010, 11:07
	Генерируй новый пароль и возращай его. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:16 [ТС]
	to pl: Нельзя генерировать новые данные. 'Пароль' был взят для примера секюрных данных, кроме него будут и другие, которые никак нельзя хранить в открытом виде. 0

@sl_play 4 / 4 / 3 Регистрация: 25.05.2009 Сообщений: 2,576
	09.05.2010, 11:32
	не используй пароль как строку, бери его айди из базы и по нему сверяйся 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:37 [ТС]
	to sl_play: Мне нужно понять КАК хранить в базе 'секюрные данные', что б и надежно(ну или максимально надежно) защищены, и что б возвращать можно было. ЗЫ: Ну ведь как то это реализуется .... 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	09.05.2010, 11:54 [ТС]
	Глянул как реализуется это в форуме от phpBB2, так вот там пароли храняться в мд5(), при нажатии на ссылке 'забыли пароль', присылается письмо с линком на активацию смены пароля и соответственно новый пароль. В принципе оптимальный вариант, и мд5(), который тяжело, хоть и возможно, взламать, и данные не открытые храняться ... 0

@mk.am 0 / 0 / 0 Регистрация: 22.10.2009 Сообщений: 40
	10.05.2010, 13:10
	при чем здесь пароли? человеку надо любую инфу хранить в зашифрованном виде, да так чтоб возвращать можно было... 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 14:20
	И как ты предлагаешь? 0

Опции темы

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 14:25 [ТС]
	Получается, если с сайта можно запросить свои секюрные данные (например тот же пароль), значит они храняться в открытом виде !!! 0

@bazile 86 / 62 / 69 Регистрация: 15.03.2007 Сообщений: 6,903
	10.05.2010, 15:33
	2 crumb: Из вопроса непонятно от кого или чего вы собиратесь защищать свои секретные данные. Для паролей имеет смысл использовать вышеописанную схему с md5. Для других данных можно, например, использовать функции mySQL: ENCODE(str,pass_str) DECODE(crypt_str,pass_str) AES_ENCRYPT(string,key_string) AES_DECRYPT(string,key_string) DES_ENCRYPT(string,key_string) DES_DECRYPT(string,key_string) > и мд5(), который тяжело, хоть и возможно, взламать Сделайте это и слава (как минимум) вам обеспечена md5 нельзя взломать 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 15:42
	2 bazile какой смысл криптовать иные данные, если ключ хранится на сервере? 0

@bazile 86 / 62 / 69 Регистрация: 15.03.2007 Сообщений: 6,903
	10.05.2010, 15:48
	Если нужно защитить данные от просмотра их администратором БД, который не знаком с PHP, то этот способ вполне подходит. К тому же пусть автор вопроса сам сначала объяснит зачем ему нужно шифровать данные БД. 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 15:58 [ТС]
	В принципе может подойти вариант предложеный bazile, а ключ подальше запрятать Шифровать данные нужно для: 1. Ести стянут базу или часть базы через веб, то чтоб ключевые важные поля без расшифровки были безполезны; 2. От человека типа администратора, у которого будет доступ к базе; 3. В идеале и от хостера... 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	10.05.2010, 16:02
	Ключ ты где думаешь хранить????? 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	10.05.2010, 17:42 [ТС]
	to webbyte: Ну во первых в папке недоступной из веб, во вторых, хранить не полностью ключ, а допустим часть, а остальные генерить от чего-то постоянного на сервере (что б запутать типа 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	11.05.2010, 04:31
	Понимаешь, если злоумышленнику будет доступна MySQL, то наверняка и доступ к серверу у него будет Поэтому ему до балды и первый твой вариант, и второй. Ключ он получит в любом случае 0

@crumb 0 / 0 / 2 Регистрация: 11.12.2008 Сообщений: 219
	11.05.2010, 09:00 [ТС]
	Ну, скажем, я пока только так вижу как можно максимально, по возможности конечно, обезопасить важную инфу. Тем более злоумышленник злоумышленнику рознь . Может есть еще безумные идеи ? 0

@webbyte 7 / 8 / 6 Регистрация: 11.05.2008 Сообщений: 876
	11.05.2010, 10:42
	паранойя хороша в известных пределах. Если у тебя сайт по продаже атомных бомб, покупай выделенный сервер и ставь к нему охрану. 0