[PHP-MYSQL] Password in database

[SimoneLucca]

Come mai la pagina php di validazione utente non trova l'utente e la password se inserisco i dati con questa query SQL:

INSERT INTO utenti (username, password) VALUES ('simone', password('simone'));

con questa si

INSERT INTO utenti (username, password) VALUES ('simone', 'simone');

[kingv]

password() e' una funzione di MySQL che ritorna crittata (con un algoritmo oneway) la stringa che passi come argomento, quando fai il confronto per validare l'utente devi utilizzarla di nuovo per confrontare la password.

[cionci]

Cioè...ad esempio:

"SELECT * FROM utenti WHERE username = $username AND password = PASSWORD('$password');"

[SimoneLucca]

si, avovo trovato qualcosa a giro del genere.... non so se è meglio usare password() o la coppia encode()/decode()...

per quanto riguarda fare delle pagine protette... che meccanismo si usa oltre ai cookie!

P.S: Grande Bandorano==Cionci!!!

[kingv]

Quote:

Originariamente inviato da SimoneLucca
si, avovo trovato qualcosa a giro del genere.... non so se è meglio usare password() o la coppia encode()/decode()...

per quanto riguarda fare delle pagine protette... che meccanismo si usa oltre ai cookie!

P.S: Grande Bandorano==Cionci!!!

dal punto di vista della sicurezza e' migliore la prima, visto che non conservi le password sul db.

oltre ai cookie per riconoscere l'utente loggato ci sono altri sistemi, url rewriting, id della sessione ssl, su google trovi un sacco di materiale.

[cionci]

Concordo con kingv su Password... Le funzioni Password e MD5 sono entrambe funzioni non invertibili...
Le stringhe codificate con Encode sono sempre invertibili con Decode e chiunque entri in contatto con il DB mysql potrà utilizzare Decode per risalire alle password in chiaro...
Se la password è salvata codificata con Password e MD5 anche avendo tutte le password è, almeno per ora, impossibile risalire alle password in chiaro...

[SimoneLucca]

se password() fosse una funzione 1 a 1 (come credo) basta fare un programmino che prova le varie combinazioni di password con la relativa codifica e vede se metcha con quelle che passa da sito codificata... ecco trovata la password in chiaro.

[kingv]

Quote:

Originariamente inviato da SimoneLucca
se password() fosse una funzione 1 a 1 (come credo) basta fare un programmino che prova le varie combinazioni di password con la relativa codifica e vede se metcha con quelle che passa da sito codificata... ecco trovata la password in chiaro.

hai ragione, peccato che un programmino del genere ci potrebbe mettere qualche milione di anni

[cionci]

Password è tanti a uno (è non invertibile)...come md5...
L'attacco di forza bruta è sempre praticabile qualunque sia il grado di sicurezza che applichi...ma per prevenire un attacco di forza bruta si utilizzano altri metodi...

- Al momento della registrazione devi chiedere una password di almeno 6 caratteri...
- Devi impedire l'attacco di forza bruta: se vengono effettuati più di K login sbagliati in N secondi da un certo IP banni l'ip...cioè impedisci a quel dato IP di loggarsi con qualsiasi nome utente per un tempo pari a N secondi...

Che so...K=5 login in N=20 secondi... In questo modo rendi di fatto impossibile un attacco di forza bruta...

Come realizzazione è facilissima...

Nella tabella utenti segni il tempo dell'ultimo tentativo di login sbagliato e l'inidirizzo IP che ha tentato il login... Inoltre ti tieni un altro campo "Contatore"

Codice:

Se ("tempo attuale" - "tempo salvato sulla tabella") <= N e "IP" = "IP sulla tabella utenti" allora
   incrementi "Contatore" (non devi toccare il tempo salvato)
   Se "Contatore" == K allora
      salvi "IP" sulla tabella degli "IP bannati" con il tempo attuale
altrimenti
   metti a 0 "Contatore"
   modifichi il tempo salvato con quello attuale

La tabella degli IP bannati sarà semplicemente:
IP, Data...
Per controlalrla basta fare uan query del genere...

Codice:

"SELECT * FROM IP_Bannati WHERE IP = '$IP' AND ('$DataAttuale' - Data) <= $N;"

Se la query ha risultato allora
    aggiorni la data con quella attuale
altrimenti procedi al tentatvo di login

Ora non mi ricordo di preciso come si fa la differenza fra date in MySQL, comuqnue lo trovi sul manuale...
Comuqnue questo codice va eseguito prima di qualsiasi operazione di login...

Se vuoi ancora più sicurezza puoi bannare una fascia di 256 indirizzi IP...

Comunque io preferirei utilizzare md5 anche perchè almeno è trasportabile su un altro DBMS !!! Altrimenti se cambi DBMS dovrai richiedere la password a tutti i clienti...

[kingv]

Quote:

Originariamente inviato da cionci
Comunque io preferirei utilizzare md5 anche perchè almeno è trasportabile su un altro DBMS !!! Altrimenti se cambi DBMS dovrai richiedere la password a tutti i clienti...

giusto, non ci avevo pensato

[SimoneLucca]

Quote:

hai ragione, peccato che un programmino del genere ci potrebbe mettere qualche milione di anni

Si, ma se non uso le precauzioni che ha elencato molto dettagliatamente Cionci... i milioni di anni possono ridursi drasticamenti a poche ore...


Grazie per tutto!

[SimoneLucca]

Qualche altro consiglio per diminuire l'insicurezza di un sito?

[cionci]

Ecco... http://www.mysql.com/doc/en/Encryption_functions.html

Mi sembrava che ci fosse anche SHA... Usa SHA...magari un po' meno diffuso di MD5, ma migliore...

MD5 e SHA li usi allo stesso modo di password...

INSERT INTO users VALUES ($username, SHA('$password'));

SELECT * FROM users WHERE username = $username AND password = SHA('$password');

[SimoneLucca]

Sto usando un DB mySQL da freesql.org ed ho provato a codificare la password con MD5... ma la query:


SELECT * FROM utenti WHERE (username = 'aaa' AND password = MD5('aaa'));


non produce nessun risultato dopo aver inserito l'entry:

INSERT INTO utenti VALUES ('aaa', MD5('aaa'));

come mai???

[cionci]

A me funziona...come hai creato la tabella ?

Codice:

mysql> create table utenti (username VARCHAR(40) NOT NULL PRIMARY KEY,
    -> password VARCHAR(40));
Query OK, 0 rows affected (0.02 sec)

mysql> insert into utenti values ('cionci', SHA('cionci'));
Query OK, 1 row affected (0.00 sec)

mysql> select * from utenti;
+----------+------------------------------------------+
| username | password                                 |
+----------+------------------------------------------+
| cionci   | 4d374701b1c69d4c3782d596339f5994819234aa |
+----------+------------------------------------------+
1 row in set (0.02 sec)

mysql> select username from utenti WHERE username = 'cionci' AND password = SHA(
'cionci');
+----------+
| username |
+----------+
| cionci   |
+----------+
1 row in set (0.00 sec)

mysql> insert into utenti values ('cionci2', MD5('cionci'));
Query OK, 1 row affected (0.00 sec)

mysql> select * from utenti;
+----------+------------------------------------------+
| username | password                                 |
+----------+------------------------------------------+
| cionci   | 4d374701b1c69d4c3782d596339f5994819234aa |
| cionci2  | 45674d3129be7fa386430986edb25149         |
+----------+------------------------------------------+
2 rows in set (0.00 sec)

mysql> select username from utenti WHERE username = 'cionci2' AND password = MD5
('cionci');
+----------+
| username |
+----------+
| cionci2  |
+----------+
1 row in set (0.00 sec)

mysql>

[SimoneLucca]

cionci... a me su www.freesql.org non mi va!
Conosci altri posti in rete che mi ospitano un database mysql...
ora in freesql è impossibile fare database...

[cionci]

Su Lycos...
Ma non ti conviene testarlo in locale ?

[SimoneLucca]

si, lo sto testando in locale... ho rispolto il problema riguardo a MD5, avevo fatto il campo lungo solamente 20 perchè con password bastava...

Grazie comunque...

per quanto riguarda la variabile register_globals come mi conviene settarla e cosa implica???

[cionci]

register_globals ti conviene lasciarla com'è di default (cioè a falso)...
Implica che quando hai una variaible di sessione o passata tramite post o get viene dichiarata automaticamente una variabile globale con il nome della variaible...
Ma da notevoli problemi di sicurezza... infatti pensa di avere una variabile di sessione chiamata "logged" che quando ha una valore uguale a 1 indica che l'utente è loggato...

Allora basterebbe passare al file php tramite il browse file.php?logged=1 ed automaticamete saresti loggato !!!

Quindi per accedere alle variabili di Sessione, post e get devi usare i vettori globali: $_SESSION, $_GET e $_POST...

[SimoneLucca]

okke! e per passare le variabili tra 2 pagine tramite una form... (username e password) meglio GET o POST??? la pass è MD5...