[PHP/MySQL] MD5

[chris0457]

Hey Leute,

Ich hab eine PHP Datei die in meiner Datenbank einen neuen User anlegt.
Nun ist das Passwort aber leicht durch Bruteforce zu "Knacken".

Derzeit ist das Passwort in der PHP Datei so angegeben:

$password="MEIN_PASSWORT";

Stattdessen soll das Passwort aber mit MD5 Verschlüsselt werden !
Mien Passwort habe ich bereits als MD5 Hash/Code.

Einfach einsetzen statt des normalen Passwortes bringt aber leider nichts!
MySQL Verison ist 5

Wie genau stell ich denn das ganze um auf MD5 damit die DB auch den Login zulässt?

Bitte und Hoffe auf Hilfe.

 

[QuArK007]

Also es ist so, dass du die MD5 Verschlüsselten PWs vergleichen musst! Sieht dann in etwa so aus:

<?
$pass_db = $row['password']; // das in der DB als md5 verschl. PW vorliegt in  Variable laden
$pass_post = $_POST['login_pw']; //Wert aus dem Login holen
$pass_post = md5($_POST['login_pw']);
if($pass_db == $pass_post)
{
echo "passwort ist richtig";
}
else
{
echo "passwort ist falsch";
}
?>

bei weitern Fragen auch gerne posten oder ICQ benutzen!

Gruß QuArK007

 

[theHacker]

Programmierung

 

[ZeroCCC]

Derzeit ist das Passwort in der PHP Datei so angegeben:

$password="MEIN_PASSWORT";

Redest du hier von dem Kennwort für mysql_connect?

 

[chris0457]

Redest du hier von dem Kennwort für mysql_connect?

Ja!

 

[theHacker]

Wenn dem so ist, dann kannst du es nicht anders machen. mysql_connect() erwartet das Passwort als Plaintext. Codierst du es MD5, kannst du nicht mehr konnektieren. Das Passwort is dann ja falsch.

 

[chris0457]

Soweit ich weis erkenkennt MySQL das MD5 und es sollte funktionieren?
Ich weis zwar das es nicht encodet werden kann aber ...hmmm....

Welche Möglichkeit gibt es denn ?

Ich habe eine PHP Datei zur erstellen eines Benutzerkontos in denen die MySQL Zugangdaten stehen die dann mit der MySQL DB verbinden und den Benutzer eintragen.

Aus anderen gründen kann ich die DB selbst aber NICHT verschlüsseln also nur die PHP Datei! Welche Möglichkeiten gibts als mich vor Bruteforce etc zu schützen ?

 

[theHacker]

Du kannst das DB-Passwort mit einem Zweiweg-Algorithmus verschlüsseln. Bekommt jemand FTP-Zugriff und so Zugriff aufs Script, hat er das Passwort genauso schnell, wie wenn es gleich Plaintext drinsteht.

Welche Möglichkeiten gibts als mich vor Bruteforce etc zu schützen ?

Ich verstehe nicht, was du mit Bruteforce meinst. Was hat das mit deinem PHP-Script zu tun ?
Entweder jemand kriegt Zugriff auf das Script mit dem Passwort oder nicht. Wie bringst du Bruteforce in den Kontext rein ?

 

[chris0457]

ALso ich habe einen HOmeserver!

FTP ist NICHT drinn!

Edit:

Habe nun den Remot Zugirff auf MySQL Deaktiviert damit dürfte jemand der meine Zugansdaten für MySQl hat nix mehr anfangen könne oder ?

 

[Renegade]

Hi,

Leg doch das Passwort doch einfach in ein Verzeichniss, dass von außen nicht erreichbar ist und lade es dann in dein Script. Damit ist es nicht verschlüsselt aber etwas sicherer.

 

[chris0457]

DIe Sperrung des Remote Zugriffs düfte das doch eh verhindern dasn auf die DB zugegrifen werden kann oder ?

 

[theHacker]

ALso ich habe einen HOmeserver!

FTP ist NICHT drinn!

Is ja auch egal, welche Dienste du laufen hast. Es dürfte aber ja klar gewesen sein, was ich gemeint hab.

DIe Sperrung des Remote Zugriffs düfte das doch eh verhindern dasn auf die DB zugegrifen werden kann oder ?

Ne, nicht unbedingt. Du hast sicher phpMyAdmin oder eine derartige Software installiert, um die Datenbank benutzerfreundlich im Browser zu verwalten. Wenn ich das DB-Passwort habe, nutz ich einfach die Software, die ja von localhost konnektiert und folglich durch kommt.

 

[chris0457]

Es ist nur Navicat und SQLyog drauf aber das ist ja nicht für den browser. PHPmyAdmin oder deratiges ist NICHT drauf!