Шифрование переменных

@Unick · Регистрация: 03.05.2009

У меня простая форма логина и пароля, пароль берёт из файла (допустим "#pass", я делаю без расширения, чтобы нельзя было зайти из браузера)
Поскольку я хочу, чтобы мой сайт был на бесплатном хосте, мне надо как-то содержимое зашифровать в файле. А код пхп расшифровывал и сверял…

@SunDrop · 01.02.2010, 13:40

Сообщение от Unick-legenda

md5 меня заинтриговал, как обратный процесс сделать?))))

Обратного процесса нет в хеше

по этому сравниваешь ты так:

PHP
1
2
3
4
5
// $pass - пароль который ввел пользователь.
// $hash - хеш, который ты сохранил - т.е. md5(md5($pass))
if ($hash == md5(md5($pass)) {
...
}

т.е. сравниваешь хеши, а не пароли!

Добавлено через 1 минуту

Сообщение от Unick-legenda

опустим "#pass", я делаю без расширения, чтобы нельзя было зайти из браузера

А попробуй ка набери в браузере вызов этого файла. Мне интересно, выведет он его тебе на экран. По идее должен!

@Krist_ALL · 01.02.2010, 15:27

Ну уже если ТС хочет хранить пароли в файле, то тут есть 2 выхода:
1. В папке где храниться файл с паролями сделать index файл, дабы при азходе в папку через браузер не вывелся список файлов в директории.

2. Имя папки и файла не аля pass pwd passwords ачтонибудь необычное d565ds4 например.. а то есть сканеры с базой 3500 примерно директорий.Можно натравить на сайт и по словарю сканер пробегается и смотрит коды ответа(200 например, то папка/файл есть)

3. Извращенский вариант: хранить пароли в файл с именем .htaccd например. Его просмотретьнельзя будет из браузера - 403 код (доступ запрещен). Т.к веб серверы настроены запрещать доступ к файлам с именами '.hta*' .

А вообще md5 и даже двойной легко сбрутить.есть масса сайтов с большими базами. и длинна пароля не помеха. Можно использовать фиксированную соль, которая будет в самом скрипте.пример:

PHP
1
2
$salt = 'f4r^cs45)';
$pass2 = md5(md5($_POST['pass'].$salt.md5($salt.$_POST['pass'])));

@SunDrop · 01.02.2010, 15:39

Сообщение от Krist_ALL

Можно использовать фиксированную соль, которая будет в самом скрипте

Не можно, а даже нужно! Очень рекомендую.
Все остальное - полубред!
Совет с файлами только один - помещайте файл за пределы wwwroot или закрывайте сервером доступ к нему из браузера (например, через .htaccess) все остальное - затычки, которые легко обходятся.

Добавлено через 1 минуту

Сообщение от Unick-legenda

2. как сделать ключевые слова для поисковика (метки)

Подробнее... Для какого поисковика? Своего или Гугла/Яндекса?

@Unick · 01.02.2010, 22:12 **[ТС]**

открою карты
#pass
1) # в браузере нельзя ввести, поэтому вывод - error
2)допустим пользователь попытается %23pass (вроде так)
Браузер пытается попасть в папку %23pass,

он же не знает что это файл без расширения

3) ну через опу мб как-то и попал, что в принципе невозможно, но на кройняк:
В папке код

PHP
1
2
3
4
<?php
$q='мой логин'
$x='мой пароль, 5-7 раз в мд 5-ть закинул + моя комбинация';
?>

переменные не отобразятся
Так что трудно будет найти якорь

@boong · 02.02.2010, 02:08

Сообщение от Unick-legenda

PHP
1
2
3
4
<?php
$q='мой логин'
$x='мой пароль, 5-7 раз в мд 5-ть закинул + моя комбинация';
?>

еще можно добавить strrev();

@SunDrop · 02.02.2010, 02:23

Сообщение от Unick-legenda

Так что трудно будет найти якорь

Мда... Нет слов!
Конечно вынос за пределы wwwroot и запрет в .htaccess это слишком сложно

Лучше делать подобного рода затычки

Забавно, забавно

А если я в GET передам переменные $q и $x - смогу ли я обойти защиту?
Вообще забавно было бы наткнуться на подобное в сети, засвети УРЛ, а?
Мне интересно за сколько его удастся сломать?

@Xmad · 02.02.2010, 02:34

Не хотите чтобы пользователи зашли в папку или просмотрели список файлов в ней? )

используйте в .htaccess:

Options -Indexes
deny from all

@boong · 02.02.2010, 03:15

Сообщение от SunDrop

Забавно, забавно

А если я в GET передам переменные $q и $x - смогу ли я обойти защиту?
Вообще забавно было бы наткнуться на подобное в сети, засвети УРЛ, а?
Мне интересно за сколько его удастся сломать?

ну я надеюсь Unick-legenda знает что такое xss,sql injection,CSRF и т.д. или Register Globals и как правельно писать скрипт без уязвимостей.

@Unick · 02.02.2010, 08:42 **[ТС]**

Сообщение от SunDrop

Мда... Нет слов!
Конечно вынос за пределы wwwroot и запрет в .htaccess это слишком сложно

Лучше делать подобного рода затычки

Забавно, забавно

А если я в GET передам переменные $q и $x - смогу ли я обойти защиту?
Вообще забавно было бы наткнуться на подобное в сети, засвети УРЛ, а?
Мне интересно за сколько его удастся сломать?

я писал что .htaccess не добавлял?

за пределы wwwroot на хосте мне нельзя
а пароли с помощью get передовать))) ой не могу) приколист

Добавлено через 12 минут

Сообщение от boong

ну я надеюсь Unick-legenda знает что такое xss,sql injection,CSRF и т.д. или Register Globals и как правельно писать скрипт без уязвимостей.

что-то знаю)
но всё это глупости для детей, которые верят что умные дяди делают дырки)

Добавлено через 17 секунд

Сообщение от boong

ну я надеюсь Unick-legenda знает что такое xss,sql injection,CSRF и т.д. или Register Globals и как правельно писать скрипт без уязвимостей.

что-то знаю)
но всё это глупости для детей, которые верят что умные дяди делают дырки)

Новые блоги и статьи Все статьи Все блоги /
[golang] Состояние гонки (race condition) alhaos 10.06.2026 Состояние гонки (race condition) Состояние гонки (Race Condition) — это ошибка, возникающая при одновременном доступе нескольких горутин к одним и тем же данным без должной синхронизации. При этом. . .	Взрослые отношения, и почему они не получаются kumehtar 09.06.2026 Когда в детстве ребёнок не получает от родителей чего-то важного, он лишается не просто приятных переживаний, а основы для формирования определённых внутренних качеств и навыков. Если ребёнок не. . .	[golang] Worker Pool alhaos 09.06.2026 Worker Pool Worker Pool — паттерн конкурентной обработки задач в Go. Суть: фиксированное количество горутин-воркеров читают задачи из общего канала и пишут результаты в общий канал результатов. . . .	[golang] Pipeline alhaos 08.06.2026 Pipeline Pipeline — паттерн конкурентной обработки данных в Go. Суть: данные проходят через цепочку независимых стадий, каждая из которых работает в своей горутине и общается с соседями через. . .
Свет внутри себя kumehtar 07.06.2026 Пусть это будет здесь lIs4oanZS9Y	Программа для com-порта Uhbif79 05.06.2026 Всем привет, давно хотел изучить Qt, начинал, бросал, потом снова начинал. И сейчас вот смог написать свою первую программу. До этого имел опыт программирования микроконтроллеров, писал прошивки на. . .	Транскрипция 55-минутного видео через Whisper: WhisperDesktop облажался, спас Google Colab[ anaschu 01.06.2026 Понадобилось получить текст из свежезагруженного видео на YouTube. Казалось бы, задача на пять минут. Заняла полтора часа. Делюсь опытом — может кому пригодится последовательность решений. . . .	21 мат мед. Планы на развитие модели здравоСохранения anaschu 01.06.2026 AnyLogic: план развития симуляционной модели рабочего коллектива — динамический абсентеизм, реальные данные, три сценария сравнения Продолжаю серию постов о дискретно-событийной модели рабочего. . .

@Unick не Администратор ^_^ 988 / 223 / 23 Регистрация: 03.05.2009 Сообщений: 1,493 Записей в блоге: 1

	Шифрование переменных 30.01.2010, 20:07. Показов 6584. Ответов 28 Метки нет (Все метки) У меня простая форма логина и пароля, пароль берёт из файла (допустим "#pass", я делаю без расширения, чтобы нельзя было зайти из браузера) Поскольку я хочу, чтобы мой сайт был на бесплатном хосте, мне надо как-то содержимое зашифровать в файле. А код пхп расшифровывал и сверял… 0

@Xmad 0 / 0 / 0 Регистрация: 02.02.2010 Сообщений: 3
	02.02.2010, 02:34
	Не хотите чтобы пользователи зашли в папку или просмотрели список файлов в ней? ) используйте в .htaccess: Options -Indexes deny from all 0