[PHP]criptare get

SteR9 · 28-11-2004, 19:06

Ho la necessità di inviare dei dati tramite GET con un form però questi dati vorrei criptarli ad esempio con md5..come potrei fare a passare nel get la stringa presa da un campo di testo criptata?
grazie..

VICIUS · 28-11-2004, 20:55

md5 è un algoritmo di hashing non serve a criptare. ti serve qualcosa come sha1 per fare quello che vuoi. in php non puoi fare molto pero puoi cercare l'algoritmo in javascript.

ciao

SteR9 · 28-11-2004, 22:25

Quote:

Originariamente inviato da VICIUS
md5 è un algoritmo di hashing non serve a criptare. ti serve qualcosa come sha1 per fare quello che vuoi. in php non puoi fare molto pero puoi cercare l'algoritmo in javascript.

ciao

no mi va bene anche md5...però non so come fare per poter passare i parametri dal form come md5..

cionci · 29-11-2004, 16:00

Sia SHA1 che MD5 sono algoritmi di hashing...e fornisco solo un fingerprint dei dati che gli vengono passati... E' estramemente complicato (se non impossibile, visto che la funzione non è invertibile) risalire al testo originale...

Ti serve un algoritmo di crypt/decrypt simmetrico con chiave...

Attenzione perchè la funzione crypt messa a disposizione da php è ad una via (cioè fa un hashing)...quindi devi usare l'estensione Mcrypt: http://it.php.net/manual/it/ref.mcrypt.php

Comunque codificare in maniera efficace il testo inviato da un form è praticamente impossibile (anche se lo fai in JavaScript la chiave dovresti comunque farla passare in chiaro nella pagina che genera il form)... Puoi invece codificare tutti i get che non sono provenienti da form, generando la querystring criptata al momento della scrittura in output dei link... La password necessaria per recuperare le informazioni può essere variabile (usando un miscuglio di session ID, Ip e ora) la puoi memorizzare in una varibile di sessione...

VICIUS · 29-11-2004, 16:29

Quote:

Originariamente inviato da cionci
Sia SHA1 che MD5 sono algoritmi di hashing...e fornisco solo un fingerprint dei dati che gli vengono passati... E' estramemente complicato (se non impossibile, visto che la funzione non è invertibile) risalire al testo originale...

Vero sha1 fa l'hasing. cavolo questa volta ho detto proprio una cavolata

ciao

SteR9 · 29-11-2004, 21:13

ma il problema è che in pratica devo fare una pagina di login la quale come username e pass ne ha solo una..quindi non mi interessa andarli a leggere da un database e con un if controllo se sono inseriti username e pass corretti.. e passandoli con un get si vedono nella barra indirizzi..

SteR9 · 30-11-2004, 20:26

UP non c'è proprio modo di usare md5?

cionci · 30-11-2004, 20:29

Lo puoi usare tramite JavaScript criptando prima di inviare...ma non risolvi assolutamente niente... Quale problema risolveresti in questo modo ?

SteR9 · 30-11-2004, 21:24

Quote:

Originariamente inviato da cionci
Lo puoi usare tramite JavaScript criptando prima di inviare...ma non risolvi assolutamente niente... Quale problema risolveresti in questo modo ?

in che modo?usando js?
vorrà dire che se nn posso cercherò di usare il post..

cionci · 30-11-2004, 21:27

Facendo un md5 della stringa che invii tramite GET o POST (sono insicuri entrambi allo stesso modo) quale problema di sicurezza risolveresti ?

SteR9 · 30-11-2004, 23:14

Quote:

Originariamente inviato da cionci
Facendo un md5 della stringa che invii tramite GET o POST (sono insicuri entrambi allo stesso modo) quale problema di sicurezza risolveresti ?

il problema che devo risolvere è che passando username e password tramite GET sono in chiaro sulla barra dell'indirizzo,nn mi interessa che l'accesso sia sicuro più di tanto quindi facendo controlli anche sull'ip ecc..

SteR9 · 30-11-2004, 23:14

Quote:

Originariamente inviato da cionci
Facendo un md5 della stringa che invii tramite GET o POST (sono insicuri entrambi allo stesso modo) quale problema di sicurezza risolveresti ?

il problema che devo risolvere è che passando username e password tramite GET sono in chiaro sulla barra dell'indirizzo,nn mi interessa che l'accesso sia sicuro più di tanto quindi facendo controlli anche sull'ip ecc..

cionci · 01-12-2004, 00:37

Anche se li passi tramite post sono in chiaro...

Ed anche se passi l'MD5...l'MD5 passa in chairo...e basta replicare quello ed hai replicato username e password, anche senza conoscerli...

Hai mai pensato ad un connessione di tipo HTTPS ? Almeno per l'autenticazione...

28-11-2004, 19:06	#1
SteR9 Senior Member Iscritto dal: Jun 2002 Città: Milano Messaggi: 959	[PHP]criptare get Ho la necessità di inviare dei dati tramite GET con un form però questi dati vorrei criptarli ad esempio con md5..come potrei fare a passare nel get la stringa presa da un campo di testo criptata? grazie..

29-11-2004, 16:00	#4
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Sia SHA1 che MD5 sono algoritmi di hashing...e fornisco solo un fingerprint dei dati che gli vengono passati... E' estramemente complicato (se non impossibile, visto che la funzione non è invertibile) risalire al testo originale... Ti serve un algoritmo di crypt/decrypt simmetrico con chiave... Attenzione perchè la funzione crypt messa a disposizione da php è ad una via (cioè fa un hashing)...quindi devi usare l'estensione Mcrypt: http://it.php.net/manual/it/ref.mcrypt.php Comunque codificare in maniera efficace il testo inviato da un form è praticamente impossibile (anche se lo fai in JavaScript la chiave dovresti comunque farla passare in chiaro nella pagina che genera il form)... Puoi invece codificare tutti i get che non sono provenienti da form, generando la querystring criptata al momento della scrittura in output dei link... La password necessaria per recuperare le informazioni può essere variabile (usando un miscuglio di session ID, Ip e ora) la puoi memorizzare in una varibile di sessione... Ultima modifica di cionci : 29-11-2004 alle 16:59.

28-11-2004, 20:55	#2
VICIUS Senior Member Iscritto dal: Oct 2001 Messaggi: 11471	md5 è un algoritmo di hashing non serve a criptare. ti serve qualcosa come sha1 per fare quello che vuoi. in php non puoi fare molto pero puoi cercare l'algoritmo in javascript. ciao

29-11-2004, 21:13	#6
SteR9 Senior Member Iscritto dal: Jun 2002 Città: Milano Messaggi: 959	ma il problema è che in pratica devo fare una pagina di login la quale come username e pass ne ha solo una..quindi non mi interessa andarli a leggere da un database e con un if controllo se sono inseriti username e pass corretti.. e passandoli con un get si vedono nella barra indirizzi..

30-11-2004, 20:26	#7
SteR9 Senior Member Iscritto dal: Jun 2002 Città: Milano Messaggi: 959	UP non c'è proprio modo di usare md5?

30-11-2004, 20:29	#8
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Lo puoi usare tramite JavaScript criptando prima di inviare...ma non risolvi assolutamente niente... Quale problema risolveresti in questo modo ?

30-11-2004, 21:27	#10
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Facendo un md5 della stringa che invii tramite GET o POST (sono insicuri entrambi allo stesso modo) quale problema di sicurezza risolveresti ?

01-12-2004, 00:37	#13
cionci Senior Member Iscritto dal: Apr 2000 Città: Vicino a Montecatini(Pistoia) Moto:Kawasaki Ninja ZX-9R Scudetti: 29 Messaggi: 53971	Anche se li passi tramite post sono in chiaro... Ed anche se passi l'MD5...l'MD5 passa in chairo...e basta replicare quello ed hai replicato username e password, anche senza conoscerli... Hai mai pensato ad un connessione di tipo HTTPS ? Almeno per l'autenticazione...

Strumenti
Mostra una versione stampabile Invia questa pagina per email